市中には「SAD DNS」と呼ばれる新しい脅威が出回り、攻撃者がトラフィックをリダイレクトできるため、企業はフィッシング、データ流出、評判の低下、収益の損失などのリスクにさらされています。

SAD DNSとは何ですか?

これは気分屋のドメインネームシステム(DNS)ではなく、新たに発見された脅威の頭字語です。研究者が発見した「Side-channel AttackeD DNS」で、DNS キャッシュポイズニング攻撃を復活させる可能性があります。

DNS キャッシュポイズニングとは何ですか?なぜ脅威なのですか?

DNS はインターネットの電話帳のように機能し、ドメイン名を IP アドレスに変換するため、ユーザーは数字の文字列の代わりに名前の付いた Web サイトを簡単に探すことができます。

  1. ユーザーがドメイン名をブラウザに入力すると、インターネットサービスプロバイダー(ISP)でホストされているネームサーバーや、カフェのワイヤレスルーターなどのパブリック DNS などのキャッシュDNSサーバーにクエリが送信されます。
  2. 最初に、このキャッシュDNSサーバーは、さまざまなネームサーバー(ルート DNS、レジストリ、そして最後に権限のある DNS)へ一連のクエリをトリガーします。
  3. 最終的に、ネームサーバーは IP アドレスで応答を受信し、ブラウザに Web サイトを表示します。

効率を上げるために、IP アドレスはキャッシュDNSサーバーに保存され、次に同じクエリを受信したときに同じアドレスを返します。これはキャッシングとして知られています。このデータを保存すると、次に誰かがドメイン名の IP アドレスを要求したときに、自分のレコードから非常にすばやく応答できます。キャッシュが維持される期間は、ゾーンファイル内で詳細に示されている存続可能時間(TTL)で決まります。

このデータのキャッシュが危険にさらされる可能性があるのです。DNS キャッシュポイズニングでは、キャッシュDNSサーバー(この場合は ISP)が攻撃者によって破壊され、スプーフされた IP アドレスが返されます。これにより、ユーザーは、意図した正当な Web サイトではなく、不正な Web サイトなどの間違った場所に移動させられます。そのため、正当なドメイン名を入力したユーザーは、知らずにフィッシング Web サイトにアクセスしたり、マルウェアに感染したりする可能性があります。攻撃者はトラフィックを再ルーティングする機能により、盗聴、データの盗用、通信の改ざんを行うことができます。

DNS キャッシュポイゾニングは新しい攻撃ですか?

いいえ、DNS プロトコルのこの脆弱性は、セキュリティ研究者の Dan Kaminsky が 2008 年に発見しました。彼は、65,536個のユニークなトランザクションIDだけでDNSクエリ検証が行われれるというDNS構造に欠陥があることに気づきました。。これにより、攻撃者はキャッシュDNSサーバーをトランザクション ID を含む偽の DNS 応答で溢れさせ、総当たり方式で DNS クエリの正しいクエリ ID を推測し、DNS 応答に自分の悪質なスプーフ IP アドレスを挿入できるようになります。

DNS キャッシュポイズニングはどのようにして軽減しますか?

この種の攻撃は、次の 2 つの軽減策を使用すると阻止できます。

(I) ドメイン名セキュリティ拡張機能(DNSSEC)

DNSSEC は、公開鍵暗号に基づくデジタル署名を使用して、DNS データの信ぴょう性を検証します 。1

(II) ソースポートのランダム化

キャッシュDNSサーバーは、要求を検証するためにクエリID(有限)とソースポート番号の両方を必要とします。ソースポート番号は、検証に利用できる順列の数が無限に多いため、攻撃者がクラックできないようにランダム化できます。

DNS キャッシュポイズニングの復活

カリフォルニア大学と清華大学の研究者は最近、DNS リゾルバーの脆弱性を特定しました。これは、攻撃者が DNS リゾルバーにデータ(UDP パケット)を送信できるもので、このサイドチャネルでのリゾルバー(ICMP)の応答に基づいて、総当たりで適切なソースポートを推測します。既知のソースポートと有限数のクエリID を備えており、DNSSEC の世界的な採用率が低いため、 攻撃者は DNS キャッシュポイズニング攻撃を再び実行できるようになっています。

CSC の DNS は危険にさらされていますか?

この攻撃のリスクに晒されているのは、キャッシュDNSサーバーだけです。CSC の DNS ネームサーバーは信頼性が高く、DNS キャッシュポイズニングに簡単に陥ることはありません。ただし、DNS の動作の性質上、ISP などのキャッシュDNSサーバーが汚染されている場合、企業は依然としてこのような攻撃を受けやすくなっています。

それでは、企業は DNS キャッシュポイズニングから身を守るには、どのようにするとよいのでしょうか?

さまざまなことが提案されましたが、2000 年代以降、ほとんど無視されてきた効果的な軽減策が 1 つあります。DNSSEC です。

DNSSEC の採用率は、数十年にわたって大幅に増加していません。当社の 2020 年ドメインセキュリティレポートでは、フォーブスグローバル 2000 企業での DNSSEC 採用率はわずか 3% でした!

「インターネットの父」と呼ばれる Vint Cerf 氏は、「業界はDNS システムのスプーフィングを排除するために、ドメインネームシステムのセキュリティ拡張やDNSSEC の迅速な採用を推進する必要があります。これは、ドメイン名の検索中に取得されたドメイン名と IP アドレスの組み合わせが、認識されているソースからのものであり、ブラウザが目的の Web サイトに到達するために正しい目的のインターネットアドレスを使用していることを確認するためにデジタル署名されているか確認する方法です。ドメインレジストラとホスティングプロバイダーは、Web サイトの所有者が自分のサイトで、ワンステップで DNSSEC を簡単に有効にできるようにする必要があります 」、と述べています3。”

SAD DNS は、DNSSEC の実装に DNS プロバイダーを使用して エスカレートする必要がある世界中の企業にとって現実問題であり、差し迫った脅威と言えます。

DNS のセキュリティ管理が不十分であると懸念される場合は、当社の無料相談をご利用ください。 >>