1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 悪意のサイトへ自動的に誘導−DNSサーバー乗っ取りについて−

悪意のサイトへ自動的に誘導−DNSサーバー乗っ取りについて−

5月30日付日経産業新聞に、以下のような記事が掲載された。

▼DNSサーバー
 ドメイン・ネーム・システムの略。ウェブサイトの名前を表すドメイン名を、数字で表されるIPアドレスに変換し、行き先に導く機能を持つ。同サーバーの運営会社やインターネット接続業者などに設置されている。
 運営会社が廃業した場合、一定期間後に運営会社のドメイン名を誰でも取得できるため、犯罪者が廃業したはずの運営会社になりすますこともできる。あるドメイン名に対応するIPアドレスを書き換えれば、利用者を犯罪者の偽サイトに誘導できる。

DNSサーバーの情報を改ざんして、不特定多数のインターネットユーザーを偽のWebサイトに誘導し、口座番号などの個人情報を盗み出すオンライン詐欺行為が話題となっている。これは「ファーミング」といわれる手口だ。

■ファーミングとは?
「ファーミング」は「フィッシング」の一種とされる。フィッシングでは、偽メールでユーザーを偽サイトへ誘導する。この偽メールの代わりに、前述した「DNSサーバーの情報の改ざん」が使われるのが「ファーミング」である。DNSの改ざんは「DNSキャッシュ・ポイズニング」とも言われる。

以下の記事によれば、ファーミングの準備行為と見られるDNSサーバーへの攻撃が急増していることが分かる。

Eコマースが急成長、セキュリティ脅威も急増(japan.internet.com)

インターネットに関する調査や評価サービスを手がける Netcraft は今年3月、ファーミング詐欺が急増する恐れがあるとのレポートを発表している。たとえば、VeriSign は3月16日、ファーミング詐欺の準備行為としての攻撃と見られるDNSサーバーへの不正アクセスが300%増になったことを検知したという。

実は、サーバー管理者側からみたDNSキャッシュ・ポイズニング対策は、最新のサーバーソフトに更新することであるとされてきた。

1997年にドメイン管理団体の一つであるinternic.netサイトが乗っ取られ、本来存在しないトップレベルドメインが勝手に新設されてしまった事件を受け、以後のDNSサーバには、全てのDNS情報が正規の管理権限を持ったサーバーから送られてきたかどうかを認証する機能が組み込まれている。つまり、古いサーバーソフトを使っているネットワークでは、これを正しく最新の設定にすることが、「DNSキャッシュ・ポイズニング」を防ぐための有効な対策といえる。

■ユーザー側の対策は!?
冒頭の引用記事は、DNSサーバー乗っ取りの問題に新たな波紋を投げかけている。同日付の日経産業新聞はこう続ける。

 問題はインターネットの本格普及から約十年が経過し、廃業するDNSサーバー運営会社が出始めていること。廃業した運営会社のドメインを別人が取得することを阻む規制はいまのところない。利用している運営会社が廃業した場合は、DNSサーバーの登録先を別の運営会社に切り替えるぐらいしかない。

古いサーバーシステムのセキュリティホールを突いてDNSサーバーを乗っ取る手口に加え、悪意の者が、廃業したサーバー運営会社のドメインを取得し、その運営会社になりすます可能性についても言及している。ひとたび犯罪者がDNSサーバーを乗っ取れば、その被害は深刻だ。例えば、偽のネット銀行のサイトに接続した利用者が自分の口座の暗証番号などを打ち込めば、個人情報が簡単に犯罪者の手に行き渡る。偽のWebサイトを作られた企業の信頼性は地に落ちてしまう。

では、ユーザーができるDNSキャッシュ・ポイズニング対策はあるだろうか。実際のところ、本物そっくりの偽サイトへ誘導された場合、ユーザーは偽サイトであると気づきにくい。単に「DNSキャッシュ・ポイズニング対策」という観点から言えば、サーバー管理者に任せるほかないようだ。

一方で、「偽サイトに誘導されること」を防ぐ観点から言える対策としては、「hostsファイルを書き換えられないようにすること」がある。hostsファイルとは、IPアドレスとコンピューター名の対応付けのための定義ファイルである。これらは悪意の人間が送り込んできたウイルスやスパイウエアなどによって、あるいは、悪意のWebサイトを閲覧することによって書き換えられる可能性がある。

結論としては、ユーザーとしては、正しいセキュリティ対策を行うことが「偽サイトに誘導されること」を防ぐためには大事である。

・OSのセキュリティ修正パッチの適用
・セキュリティ対策ソフトの導入
・不審なメールは開封しない、添付ファイルは実行しない
・不明なリンク先URLはクリックしない
・身元の不明なソフトウエアを利用しない

こうした対策を日頃から行うことが有効である。

<参考記事>
・DNSキャッシュ・ポイズニングとは(IT用語辞典)
「原因はDNSの書き換え?悪質なサイトへ誘導される」---米SANS Institute(IT Pro)
「悪質サイトへ勝手にリダイレクト」---DNSキャッシュ・ポイズニング攻撃の現状と対策(上)(IT Pro)
「悪質サイトへ勝手にリダイレクト」---DNSキャッシュ・ポイズニング攻撃の現状と対策(下)(IT Pro)

関連キーワード:

DNSサーバー

オンライン詐欺

乗っ取り

改ざん

  • 増加するネット詐欺−シマンテックが調査結果発表−
  • カテゴリートップへ
  • スプログとは