ハートブリード+キャッシュポイズニングでフィッシング被害拡大の恐れ?

釣られて たまるか

JPRSによると「大手ISPにおいてカミンスキー型攻撃手法によるものと考えられるキャッシュDNSサーバーへのアクセスが増加している」らしいです。
この攻撃手法は2008年に報告されているものですが、なぜ今増加しているかについて私の思ったところを書いてみます。

4/16 18:00 ※認識誤りがあったため、記事修正しました。

はじめに

JPRS で以下の重要なお知らせがなされています。

(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~

キャッシュポイズニングは 2008 年にDan Kaminsky氏によって発見され、結構話題になったDNSサーバへの攻撃手法です。

参考 : インターネット10分講座:DNSキャッシュポイズニング

時期的に「今更なんで?」という方もおられるかもしれませんが、先日明らかになったOpenSSLのバグ『ハートブリード』問題が関わっていると思われます。

上記は間違いで、キャッシュポイズニングの新たな攻撃手法によるもののようです。

参考 : キャッシュポイズニングの開いたパンドラの箱

※ハートブリードといいDNSキャッシュポイズニングといい...

攻撃者は何をしようとしているか?

キャッシュポイズニングで偽サイトに誘導

キャッシュポイズニングは DNSサーバのキャッシュが偽のサーバ情報を返すようにしてします攻撃手法です。

キャッシュ情報がポイズニング(中毒)になってしまった場合、以下のような事が起こります。

  1. ○○銀行のWebサイトにアクセスしたいと WebブラウザにURL( www.xx-bank.co.jp ) を入力
  2. コンピュータは www.xx-bank.co.jp の IPアドレスを DNS サーバに問い合わせる。
  3. DNSサーバは www.xx-bank.co.jp の IPアドレスを問合せを行ったコンピュータに返す。
    しかし、キャッシュ情報が不正に書き換えられていた場合、正しいIPアドレスではなく、誤った ( 偽サーバ、フィッシングサイト等の ) IPアドレスを返す。

これまでもキャッシュポイズニングの攻撃は行われており、DNSが誤ったIPアドレスを返す事で偽のサイトにアクセスしてしまうといった事はあったようです。

偽サイトかどうかの確認方法

キャッシュポイズニング以外にも、フィッシング詐欺等ではメール等から偽サイトに誘導されるケースも多いでしょう。
こういった場合の対策 ( 確認方法 ) としては

  • 正しいURLへアクセスしているか?
  • SSL証明書が正しいか?

を確認してくださいというアナウンスをしているところが多いと思います。

例 : 「三菱東京UFJダイレクト」ご利用時に真正なサーバーであることを確認する方法について

ハートブリード+キャッシュポイズニングで起こりうる事

しかし、先日の『ハートブリード』問題で、万が一証明書の秘密鍵が漏洩してしまったサイトの場合、且つ、キャッシュポイズニングの被害が合わさった場合、

  • SSL証明書の確認をしても偽物かどうかが判らない偽サイトが作成できる
  • キャッシュポイズニングされたDNSサーバの利用者は偽サイトにアクセスしてしまう。この場合、URLは正しいように見える。

という事が起こり得ます。

上記のような事が起こった場合、利用者は偽サイトと見破る事が困難になるため、機密情報等を偽サイトに渡してしまう可能性が高くなると思われます。

大手ISP ( インターネットサービスプロバイダ ) に対して攻撃を仕掛けているのは、大手ISPのDNS ( キャッシュ ) サーバに対して攻撃を成功させる事ができれば、多数の利用者を偽サイトに誘導できるからでしょう。

対策・まとめ

上記 JPRS のお知らせに 「問い合わせUDPポートのランダム化」の方法等、具体的な対策方法が記載されています。

JPRSのお知らせに記載の対応だけでは不十分かも。。。キャッシュポイズニングの開いたパンドラの箱 に記載の方法も踏まえて対策する必要がありそうです。

DNSサーバを運用していて、上記対策がなされていない、あるいは不明な場合には設定を確認し、問題があるようならきちんと対策を行うべきでしょう。