カミンスキー攻撃とは

カミンスキー攻撃とは、DNSサーバーのキャッシュ機能を悪用し、ドメイン名の乗っ取りや偽サイトへの転送などを行う「DNSキャッシュ・ポイズニング」を効率的に行うことが可能になる攻撃手法のこと。2008年7月、セキュリティ研究者のダン・カミンスキー氏により明らかにされた。「カミンスキー型攻撃」「カミンスキー・アタック」などとも呼ばれる。

インターネット上のコンピューターであるドメイン名を、IPアドレスに変換する役目を果たすDNSは、インターネット上に存在する多数のサーバー(DNSサーバー)で、データを分散して管理している。DNSサーバーの機能の一つに、キャッシュ機能がある。これは、問い合わせにより得られたIPアドレスなどの情報を、次回、同じ問い合わせを受けた時のために一時的に保存する機能のことで、キャッシュ機能により、サーバーへの問い合わせ数を減少させ、ネットワーク全体の負荷を軽減する重要な役割を担っている。

カミンスキー攻撃では、キャッシュ機能を備えたDNSサーバー(キャッシュDNSサーバー)に対し、攻撃対象のドメイン(例:www.example.jp)と同じドメイン内の存在しない名前(例:001.example.jp)の問い合わせを行い、同時に、偽の応答情報(攻撃者が用意した偽のサーバーのIPアドレス)をDNSサーバーに総当たり的に送信する。すると、ある特定の条件下で(DNSのプロトコル上の脆弱性に起因して)DNSキャッシュ・ポイズニングが成立するというものだ。

DNSキャッシュ・ポイズニングが成立すると、インターネット利用者は正規のURLを入力しても偽サイトに転送されてしまう可能性があるため、フィッシングなどの被害に遭う危険性が高まることが指摘されている。2014年4月には、JPCERTコーディネーションセンター(JPCERT/CC)が、インターネット接続事業者からカミンスキー攻撃と思われるアクセスが増加しているという報告を受けたとして注意喚起している。

DNSサーバーの管理者による、カミンスキー攻撃への対策としては、キャッシュDNSサーバーの設定を確認し、問い合わせポートを固定せずランダム化すること(ソースポートランダマイゼーション)や、DNSのセキュリティ機能拡張であるDNSSECの導入などが挙げられる。

・(PDF)新たなるDNSキャッシュ・ポイズニングの脅威〜カミンスキー・アタックの出現〜(JPRS)
DNS キャッシュ・ポイズニング攻撃に関する注意喚起(JPCERT/CC)

セキュリティ用語辞典一覧ページへ

関連キーワード:

DNSSEC

DNSキャッシュ・ポイズニング

総当たり攻撃

  • 2014年4月のIT総括
  • カテゴリートップへ
  • IPAがスマホの「紛失・盗難対策用アプリ」の悪用について注意喚起