■ITmedia News - 被害拡大の恐れも:DNS脆弱性の詳報が手違いで流出
『インターネット上のドメイン名とIPアドレスを対応させるDNSプロトコルに脆弱性が見つかった問題で、この脆弱性に関する詳細な情報が手違いで流出した。これにより、攻撃発生の危険が大幅に高まったとして、US-CERTやSANS Internet Storm Centerは7月22日、DNSサーバ運営者に対し直ちにベンダーのパッチを適用するよう呼び掛けた。
DNSはインターネットの根幹を担うとも言えるシステム。今回の脆弱性を突いてDNSキャッシュポイズニング攻撃を仕掛けられると、正規のサイトを訪れたユーザーが、まったく別の悪質サイトなどに誘導される恐れがある』
結果的に一時的な問題で終わるかもしれないけど、少なくともいま現在に於いて、けっこうマズい事態なのではないかと思われ。
DNSを大雑把に説明すると、それは電話帳。
電話帳を名前で引いて電話番号を調べる、または番号案内(104)に電話して電話番号を問い合わせる方が実際のDNSとPCのやり取りに近いかも。
この問題は、要するにその電話帳に嘘の情報を書き込める、または嘘の情報が記載された電話帳を正規のものとして紛れ込ませられるような仕組みが見つかっちゃって、例えば親戚のおじいちゃんの名前で電話番号を調べて電話したら「おぉ、わしじゃわしじゃ」なんてオレオレ詐欺番号だった、ってことが出来てしまいますよってもの。
もう少し実際の問題に近い例を挙げると、
普段使ってるオンライン銀行で振り込みをしようとして、ブラウザに例えば www.mizuhobank.co.jp と入力したとき、PCが通信のためにこのサーバの実アドレスを最寄りのDNSに問い合わせることになるんだけど、その結果得られるIPアドレス(電話番号)を偽サイトのものにできちゃう、ってこと。
あるPCが最初にアドレスを問い合わせるのは最寄りのDNSでも、対象のアドレスをそのDNSが知らなければ、そのDNSは近くの別なDNSに問い合わせをして、なんて実際はDNS間の問い合わせ連鎖(連携)でもってアドレスが回答されることになるから、その途中に1つでも攻撃を受けたDNSがあると、、、
で、脆弱性を利用して偽サイトへ誘導するように仕組んだ上で、そこにみずほ銀行のサイトそっくりなデザインのログインページなんかを用意しておけば、ユーザーは(URLも正規のものなわけだから)正規のサイトだと思ってログインすることになり、その結果ログインIDやパスワードのような重要な個人情報が盗み放題ということに…
かなり大問題な脆弱性で、かつこのニュースは「その詳細が、意図しない早期に外部へ漏れちゃったよ」って伝えてるのです。
ま、これはサーバ側の問題だから、自分たちが使ってるような一般的なクライアントマシンだけでは対処のしようがないみたいなんだけどね。。。
でも、セキュリティ意識を高めるという意味では、こうした事態が起こっているということを知っているだけでも良いことだと思うんでね。
****
■ITmedia エンタープライズ - DNSSECの早期導入を:BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処
****
■@IT - nslookup - DNSサーバに名前解決の問い合わせを行う
■迷惑メールデータベース - nslookup の起動
■迷惑メールデータベース - ホスト情報(正引き)
■迷惑メールデータベース - ホスト情報(逆引き)
↑はWindows上で自分の手でDNSへ問い合わせてみるための解説記事など。
問い合わせを試してみるときの手順としては、2つめのサイトの説明が分かりやすい。
Linuxは確かnslookupコマンドから別なコマンドへ移行してたというか、自分の使ってたディストリビューションではnslookupの実行時に「nslookupではなく○△コマンドの使用を勧める」みたいなメッセージが毎回出てたような記憶があって、いま検索して思い出した。↓digコマンドだ。
■@IT - DNS Tips - digコマンドとnslookupコマンドの違いとは
↓WebページからもDNS検索できるみたい。
■nslookup ~ブラウザ上で検索できます~
「ホスト名 or IP」欄に www.google.co.jp なり www.barukichi.com なり任意のサーバ名を入力して「検索」ボタンをクリック。
「type」欄は、上で入力したサーバがメールサーバの時に「MXレコード」、それ以外は「通常」を指定。
「DNS指定サーバー」欄は、おまじない的にそのままにしておけばOK。