DNSキャッシュポイズニング攻撃に注意喚起

2014.04.16 三和コムテック

脆弱なDNSキャッシュサーバを狙った「DNSキャッシュポイズニング攻撃」と見られるアクセスが増加しているとして、日本レジストリサービスなどが注意を呼びかけております。

問い合わせUDPポートを固定しているDNSキャッシュサーバには、比較的容易にDNSキャッシュポイズニング攻撃が行える脆弱性「CVE-2008-1447」が存在しますが、同脆弱性を攻撃する「カミンスキー型攻撃」と見られるアクセスが国内大手ISPで確認されたそうです。

ISPより報告を受けた日本レジストリサービス（JPRS）のDNSサーバにおいても、攻撃とみられるアクセスの増加を検知しております。攻撃を通じてキャッシュ情報が汚染されると、同DNSサーバを参照する端末などが、不正なサーバへ誘導されるおそれがあります。

DNSサーバに設定により、問い合わせポートをランダム化させることで、DNSキャッシュポイズニングのリスクを下げることが可能です。JPRSによれば、ランダム化の対策を講じていない場合、数秒から数分で攻撃が成功しますが、対策を講じることで、6万5000分の1程度へ成功確率を低減できるそうです。

また「DNSSEC」もDNSキャッシュポインズニングへ有効な対策であるものの、意図的なDoS攻撃の防止は困難であるため、いずれにしてもランダム化対策は必須であると指摘しております。

JPRSの調査では、ポートランダム化が有効になっていないDNSキャッシュサーバの問い合わせが約10％にのぼるなど、対策を講じておらず、攻撃を容易に受けるサーバが、依然として稼働していると見られます。

また、JPCERTコーディネーションセンターでは、今後も同脆弱性を悪用する攻撃が発生する可能性があると分析しており、脆弱性への対策を実施するよう呼びかけております。