米SANS Instituteによると,3月初めに報告された「DNSキャッシュ・ポイズニング攻撃(DNSサーバーの情報を勝手に書き換える攻撃)」では,少なくとも1300のDNSサーバー数(ドメイン数)が被害を受けたという(関連記事)。同組織が公開する日誌「Handler's Diary」の米国時間3月31日付けの情報で明らかにした。同日誌では,DNSキャッシュ・ポイズニング攻撃を仕掛ける新たなDNSサーバーを確認したことも公表している。
DNSキャッシュ・ポイズニング攻撃とは,DNSサーバーの脆弱性を突いて,偽のレコード情報をそのDNSサーバーにキャッシュさせる攻撃のこと。これにより,そのDNSサーバーのユーザーを,攻撃者の意図するサイトへ誘導できる。偽情報を“毒”にたとえて,“ポイズニング(Poisoning)”攻撃と呼ばれる。
古くから存在する攻撃ではあるが,3月以降,SANS Instituteでは,大規模なDNSキャッシュ・ポイズニング攻撃を何度か確認している。今回情報が公表されたのは,同組織が3月4日付けで明らかにした攻撃である。攻撃を受けたDNSサーバーのユーザーは,いくつかのWebサーバーへ強制的にリダイレクトされた。それらリダイレクト先のサーバーの管理者から提供されたログを基に,SANS Instituteでは同攻撃の情報をまとめた。
それによると,1304ドメインのDNSサーバーが,DNSキャッシュ・ポイズニング攻撃を受けたという。また,リダイレクト先のサイトへは,966のユニークなIPアドレスから797万回のGETリクエストが送られたとしている。
そのほか,リダイレクト先のサイトへは「1800のメール・サーバーから7万5000通のメールが送られてきた」「600のユニークなIPアドレスから7400回のFTPアクセス(ログインを試みるアクセス)があった」「IMAPによるログインの試みが7600回あった」——という。
SANS Instituteの情報では,「(リダイレクト先のサーバーの)管理者の何人かからログを提供してもらった」としているので,上記の数字は,いずれも実際にはもっと多いと考えられる。
3月31日付けの日誌では,DNSキャッシュ・ポイズニング攻撃を仕掛ける新たなDNSサーバーが見つかったことも明らかにしている(関連記事)。脆弱性のあるDNSサーバーがこういったDNSサーバー(攻撃を仕掛けるDNSサーバー)へアクセスすると(問い合わせすると),DNS情報のキャッシュを改ざんされて,本来とは異なるサイトへユーザーが誘導されてしまう。
今回のケースでは,どのCOMドメインにアクセスしても,ある特定の2つのIPアドレスのサイトへ誘導される。誘導されるサイトのURLやIPアドレスは公表されているが,SANS Instituteではアクセスしないよう呼びかけている。
◎参考資料
◆New DNS cache poisoning server; DNS Poisoning stats(米SANS Institute)
(勝村 幸博=IT Pro)
