米SANS Instituteは米国時間3月30日付けの日誌「Handler's Diary」において,DNSの情報を改ざんする「DNSキャッシュ・ポイズニング攻撃」が報告されていることを明らかにした。同組織では今まで何度かDNSキャッシュ・ポイズニング攻撃に関する情報を公表しているが,それらとは異なる模様。
SANS Instituteによると,今回の攻撃に関する報告は,WindowsのDNSサーバーのユーザーから寄せられているという。Windows NT/2000のDNSサーバーの脆弱性(デフォルト設定の不備)を突いたと思われる攻撃は,3月25日付けの日誌で公表している(関連記事)。
しかしながら今回は,セキュアな設定にしたWindows DNSサーバーやWindows 2003のDNSサーバーのユーザーから報告があるので,3月25日に公表した攻撃とは異なる。同組織では,Windows DNSサーバーに(未報告の)バグがあるかどうかを確認している最中。
今回の攻撃を受けたDNSサーバーは,COMドメインに関するレコードを改ざんされてしまう。具体的には,ユーザーがCOMドメインのサイトへアクセスしようとすると,ある特定のサーバーへ誘導されてしまう。そのサーバーのIPアドレスは公表されており,現時点(3月31日17時)ではアクセス可能。だが,アクセスすると悪質なプログラムをダウンロードさせられる恐れがあるので,アクセスしないこと。SANS Instituteでは,そのIPアドレスを無効にするよう働きかけているという。
◎参考資料
◆Another round of DNS cache poisoning
(勝村 幸博=IT Pro)
