昨日の「『悪質サイトへ勝手にリダイレクト』——DNSキャッシュ・ポイズニング攻撃の現状と対策(上)」に続き,今回のインシデントをセキュリティ専門家の見方を交えてお伝えしたい。
SANSは連日のように警告
IT Proでは,SANS Institute(以下,SANS)が公開する情報に基づいて,一連のDNSキャッシュ・ポイズニング攻撃を報じてきた。SANSは,1989年に設立されたセキュリティ組織であり,セキュリティに関する教育プログラムや研究活動,情報提供などを提供している(About The SANS Institute)。筆者が信頼している情報源の一つである。なお,同レポートは適宜更新されている。ここでは,4月6日時点での情報に基づく。
SANSには,3月3日の22時30分ごろから,「DNSキャッシュ・ポイズニング攻撃を受けている」という報告が複数のサイトから寄せられ始めたという。この攻撃により, google.comやebay.comといった有名サイトへアクセスしようとしたユーザーが,悪質なサイトへリダイレクトされたという。リダイレクト先のサイトでは,ユーザーのパソコンに悪質なプログラム(malware)をインストールさせようとする。
そこでSANSでは,3月4日付けの日誌「Handler's Diary」において,このインシデントを公表した(関連記事)。後日の調査では,このときにDNS情報を書き換えられたDNSサーバー(ドメイン)は1300以上だったという(関連記事)。
また,3月4日付けの情報では,悪質なサイトへリダイレクトされた原因として,米Symantecのゲートウエイ製品の脆弱性を取り上げていた(関連記事)。だが,後日の調査により,さまざまな手法が使われていたことを明らかにしている。
具体的には,Symantecの脆弱性に加え,Windows NT/2000のDNSサーバーのデフォルト設定の不備(関連記事),悪質なプログラム(スパイウエア/アドウエアなど)によるhostsファイルの書き換え,ダイナミックDNSサーバー——などが悪用されたという。加えて,少なくとも5台のWebサーバー(UNIX)が乗っ取られた。
なお,このときのインシデントは,実際には2月22日ごろから始まっていたことが確認されている。つまり,SANSに情報が寄せられるまでの10日間は放置されていたことになる。また,前述のように,改ざんされたDNSサーバーは1300を超える。とはいえ,SANSのレポートでは,このインシデントで実際に被害を受けたユーザーはそれほど多くないと見ている。
攻撃はこれで終わらなかった。SANSでは3月24日に別の攻撃を確認した(関連記事)。SANSのレポートでは「second attack」としている。このときは,3月初めのインシデントとは異なり,リダイレクト先のサイトにスパイウエアなどは置かれていなかった。悪名高いスパマー(スパム送信者)のWebサイトへリダイレクトされるだけだった。この攻撃についても,影響を受けたユーザーは多くないようだ。
その後,SANSでは手法やツール,リダイレクト先のサイトなどを変更した第3の攻撃を確認している(関連記事)。同攻撃は,4月1日時点で継続中だとしている。
世界中で流行しているのか?
前述の通り,SANSは,筆者が信頼している情報源の一つである。だが,今回のDNSキャッシュ・ポイズニング攻撃を報じていて気になったのは,筆者が知る限りでは,SANS以外は同攻撃に関する一次情報を公表していなかったことだ。セキュリティ・インシデントの調整を図るコーディネーション・センター——米国ならCERT/CC(CERT Coodination Center),国内ならJPCERT/CC(JPCERTコーディネーションセンター)など——をはじめ,関係組織/団体は特に情報を出していなかった。このため,今回の情報源がSANSでなく,ある特定のベンダーなどだったら,筆者は記事にしなかった。
SANSにDNSキャッシュ・ポイズニング攻撃の被害報告が寄せられたのは確かだろう。それらが,(1)「特別なケース。インターネット全体で増えているわけではない」であるのか,(2)「氷山の一角。インターネット全体で増えている」——のであるのかがとても気になった。そこで,関係者に話を聞いてみた。
