米SANS Instituteは米国時間3月25日付けの日誌「Handler's Diary」において,DNSの情報を改ざんする「DNSキャッシュ・ポイズニング攻撃」を確認したことを明らかにした。ユーザーがCOMドメインのサイトへアクセスしようとすると,薬を販売するWebサイトへリダイレクトされてしまう。SANS Instituteでは,Windows NT/2000のDNSサーバーは攻撃を受ける恐れがあるとして,管理者へ注意を呼びかけている。

 SANS Instituteでは,3月4日にも同様の攻撃を報告しているが,そのときとは手口が異なるようだ(関連記事)。まず,3月4日以降話題になった攻撃では,米Symantecのゲートウエイ製品で動作するDNSサーバーなどが狙われたと伝えられる関連記事)。また,Symantecの情報によると,リダイレクト先のサイトでは,スパイウエアなどをダウンロードさせられたという。

 今回のケースでは,Windows NT/2000のDNSサーバーが狙われたらしい。Windows NT/2000のDNSサーバーは,デフォルトではDNSキャッシュ・ポイズニング攻撃を許す設定になっているためだ。SANS Instituteでは,同攻撃を許さないような設定に変更するよう強く勧めている。具体的な手順は,マイクロソフトの技術情報「DNS キャッシュ破壊の防止策」に記載されている。

 リダイレクト先のWebサイトも,3月4日のケースとは異なる。今回のケースでは,本来ならば処方箋を必要とするような薬を販売するサイトへ誘導される。そのサイトは,スパイウエアなどをインストールするようなことはない。とはいえ,そのサイトは悪名高いようで,多くのサイトで「スパマー」などと評されているようだ。

 ユーザーを危険にさらさないために,およびスパマー・サイトの片棒を担がないために,DNSサーバー――特に,Windows NT/2000のDNSサーバー――の管理者は,セキュリティに問題がないことを確認したい。

◎参考資料
DNS Cache Poisoning Again
Global DNS cache poisoning attack?; Update...
Symantec security gateway DNS redirection

(勝村 幸博=IT Pro)