米SANS Instituteは米国時間3月4日,「悪質なWebサイトへ勝手にリダイレクトされる」という報告を複数のユーザーから受けたことを公表した。DNSサーバーの情報を勝手に書き換える「DNSポイズニング攻撃」が原因とみられている。現在では,問題は解消している模様。
SANS Instituteが公開する日誌「Handler's Diary」の3月4日付けの情報によると,「google.comやebay.com,weather.comといった有名サイトへアクセスしようとすると,いくつかの悪質なサイトへ勝手にリダイレクトされる」といった報告が複数のユーザー(サイト)から寄せられたという。
リダイレクト先のサイトは,「ABX toolbar」と呼ばれるスパイウエアを勝手にインストールしようとする。インストールにはActiveXコントロールを利用するので,ActiveXコントロールに対応していないブラウザや,デフォルト設定のWindows XP SP2環境では,勝手にインストールされる恐れはなかった。
悪質なサイトへリダイレクトされた原因として,SANS InstituteではDNSポイズニング攻撃を挙げている。同攻撃が広範にわたって行われたため,多くのユーザーが影響を受けたとする。
DNSポイズニング攻撃とは,DNSサーバーに虚偽の情報をキャッシュさせて,偽のIPアドレスを返す攻撃。これにより,ユーザーが指定したサイトとは異なるWebサイトへ誘導できる。具体的には,例えばgoogle.comのAレコードに悪質なサイトのIPアドレスを登録しておく。こうすれば,ユーザーが正しいURLをブラウザに直接入力しても,悪質なサイトへアクセスさせられる。
SANS Instituteでは,DNSポイズニング攻撃を許す原因の一つとして,DNSサーバーのセキュリティ・ホールを挙げる。例えば,米SymantecのGateway Securityや Enterprise FirewallなどのDNSサーバー機能には,DNS(キャッシュ)ポイズニング攻撃を許すセキュリティ・ホールが2004年6月に見つかっている。同製品に限らず,DNSサーバーの管理者は,そのセキュリティを改めて確認したい。
なお,今回のDNSポイズニング攻撃では,なりすましなどは行っていない。なりすましとDNSポイズニング攻撃を組み合わせた,いわゆる「ファーミング」ではなかった(関連記事)。悪質なサイトへリダイレクトされれば,ユーザーはすぐに気付く状態だった。SANS Instituteでは翌3月5日の「Handler's Diary」において,ファーミングの危険性を警告している。
◎参考資料
◆Global DNS cache poisoning attack?; Update...
◆Pharming and Phishing Attack; Mailbag
◆Symantec Gateway Security 製品にDNS キャッシュ・ポイゾニングの脆弱性
(勝村 幸博=IT Pro)
