-放置すれば情報漏えい~信用失墜に至る可能性も。
ウェブサイト運営者は早急にDNSサーバのパッチ適用や設定変更を!-
最終更新日 2009年2月6日
掲載日 2008年9月18日
>> ENGLISH
DNS(Domain Name System)(*1) キャッシュポイズニング(汚染)の脆弱性に関して、2008年7月に複数のDNS サーバ製品の開発ベンダーから対策情報が公開されています(*2)。また、この脆弱性を悪用した攻撃コードが既に公開されていたため、2008年 7月24日、IPAはウェブサイト運営者へ向けて緊急対策情報を発行しました(*3)。
しかし、この脆弱性に関して、「実際に運用されているウェブサイトのDNSサーバに対策が実施されていないのではないか?」という旨の届出(*4)が昨今激増しています。
この脆弱性への対策を怠り悪用された場合、サイト運営組織内の利用者が、正しいウェブサイトの宛先を指定したにもかかわらず、知らぬ間に悪意のあるサイトに誘導され、金銭被害や個人情報漏えいの被害を受けてしまう可能性があります。結果として、サイト運営者は組織としての社会的な信頼の失墜や、経済的損失を被ることにもなりかねません。
これらのことから、IPAとしては、改めてウェブサイト運営者、企業経営者に対して注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の早急な実施を呼びかけることとしました。
1.DNSサーバに対するDNSキャッシュポイズニングの脆弱性の届出状況
DNSサーバに対するDNSキャッシュポイズニングの脆弱性の届出は、図1に示すように8月18日の週から届出があり、9月に入ってからは、毎週数十件にのぼっています(累計204件、9月18日12:00現在)。通常の脆弱性の届出は、ウェブサイトに関して毎週10~20件程度であることから、DNSキャッシュポイズニングの脆弱性の届出件数が突出して激増していると言えます。
脆弱性が届出られたウェブサイトの運営者は、政府機関、地方公共団体、民間企業など広範囲に渡っています。社会的影響の大きいウェブサイトのDNSサーバについても多数の届出があり、各サイトの運営者は早急な調査と対策実施が必要です。
図1.DNSキャッシュポイズニングの脆弱性の届出件数の推移
2.DNSキャッシュポイズニングの脆弱性の脅威
DNSには、検索したIPアドレスを一定期間記憶(キャッシュ)する仕組みがあり、DNSサーバ(DNSキャッシュサーバ)はその役割を担います。
DNSキャッシュサーバにDNSキャッシュポイズニングの脆弱性があり、これを利用した攻撃が行われると、正しいIPアドレスを検索できなくなります。その結果、ウェブサイトや電子メールなど、インターネット上で稼働している主要なシステムにおいて、正しい接続先に接続できなくなります。
ウェブサイトの場合、図2に示すように、利用者を偽のサイトに接続させることにより、パスワードやクレジットカード番号などの情報を盗まれる可能性があります。その他、メールの場合、メールを偽のサーバに配送させることにより、メールの盗聴・改ざんを受ける可能性があります。
これらの脅威は、実際に被害を受けている場合でも、利用者から見れば正常な場合と見分けがつかないため気付くことが困難、という特徴があります。
図2.DNSキャッシュポイズニングの脅威例(ウェブサイトの場合)
3.脆弱性有無の調査方法
DNSキャッシュポイズニングの脆弱性の有無を確認するには、DNSサーバにおいて下記の3点を確認する必要があります。下記3点のうち、いずれかに該当する場合、利用しているDNSサーバにパッチが適用されていないか、または、DNSサーバの設定に問題があります。
- DNS問い合わせに使用するポート番号がランダム化されていない。
- DNS問い合わせに使用するIDがランダム化されていない。
- 外部からの再帰的なDNS問い合わせに対して回答してしまう。
現在、これらを一度に確認する方法はありませんが、個別に確認するには下記のような方法があります。
3.1 自組織のDNSキャッシュサーバに対してA.を確認する
DNS問い合わせにおいて、ポート番号が十分にランダム化されていない場合、被害を受けやすくなります。
DNS-OARC(*5)が提供するツール「porttest.dns-oarc.net」(英語)を使用すると、自組織のDNSキャッシュサーバに対してA.を確認することができます。
- porttest.dns-oarc.net -- Check your resolver's source port behavior
- https://www.dns-oarc.net/oarc/services/porttest
このツールによる確認は、OSのコマンドラインから行います。Windowsの場合、下記のようにnslookupコマンドを使用することで、確認が可能です。
- 「porttest.dns-oarc.net」を使用したA.の確認
- > nslookup -querytype=TXT -timeout=10 porttest.dns-oarc.net.
結果として「POOR」または「GOOD」と表示された場合、自組織のDNSキャッシュサーバは、A.について不十分であり、DNSサーバにパッチ適用や設定変更が必要です。
「GREAT」と表示された場合、A.の点に関しては問題ありません。
3.2 自組織のDNSキャッシュサーバに対してB.を確認する
DNS問い合わせにおいて、IDが十分にランダム化されていない場合、被害を受けやすくなります。
DNS-OARCが提供するツール「txidtest.dns-oarc.net」(英語)を使用すると、自組織のDNSキャッシュサーバに対してB.を確認することができます。
- txidtest.dns-oarc.net -- Check your resolver's transaction ID behavior
- https://www.dns-oarc.net/oarc/services/txidtest
このツールによる確認は、OSのコマンドラインから行います。Windowsの場合、下記のようにnslookupコマンドを使用することで、確認が可能です。
- 「txidtest.dns-oarc.net」を使用したB.の確認
- > nslookup -querytype=TXT -timeout=10 txidtest.dns-oarc.net.
結果として「POOR」または「GOOD」と表示された場合、自組織のDNSキャッシュサーバはB.について不十分であり、DNSサーバにパッチ適用や設定変更が必要です。
「GREAT」と表示された場合、B.の点に関しては問題ありません。
3.3 自組織が使用しているDNSコンテンツサーバに対してC.を確認する
本来、DNSサーバ(DNSコンテンツサーバ)は再帰的なDNS問い合わせに回答するべきではありません。DNSキャッシュサーバと共用している場合でも、再帰的なDNS問い合わせには、自組織内からのものに限定して回答するべきです。
IANA(*6)が提供するツール「Cross-Pollination Scan」(英語)を使用すれば、自組織が使用しているDNSコンテンツサーバが、外部からの再帰的なDNS問い合わせに対して回答するかどうかを確認できます。下記URLを開き、自組織が管理するドメイン名を入力してクエリ送信ボタンをクリックすると、結果が表示されます。
- IANA ― Cross-Pollination Scan
- http://recursive.iana.org/
結果として「Vulnerable.」と表示された場合、自組織が使用しているDNSコンテンツサーバは、外部からの再帰的なDNS問い合わせに回答する状態にあります。結果の「Name Server」で表示されるDNSコンテンツサーバに脆弱性の可能性があり、DNSキャッシュサーバと共用している場合、DNSサーバにパッチ適用や設定変更が必要です。
「Safe.」と表示された場合、自組織が使用しているコンテンツサーバは、外部からの再帰的なDNS問い合わせに回答しないため、C.の点に関しては問題ありません。
4.脆弱性の影響を受けるシステムと対策方法
4.1影響を受けるシステム
次のURLの脆弱性対策情報データベース「複数の DNS 実装にキャッシュポイズニングの脆弱性」の「影響を受けるシステム」を参照ください。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html
4.2 脆弱性の対策方法
次のURLの緊急対策情報「複数の DNS 製品の脆弱性について」の「対策」を参照し、パッチの適用および設定変更を行ってください。
脚注
(*1)コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。
(*2)脆弱性対策情報データベースJVN iPedia「複数の DNS 実装にキャッシュポイズニングの脆弱性」を参照下さい。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html
(*3)複数の DNS 製品の脆弱性について。
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html
(*4)ソフトウェア等の脆弱性関連情報に関する届出制度:経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。
(*5)DNS Operations, Analysis, and Research Center (DNS-OARC)。
https://www.dns-oarc.net/
(*6)Internet Assigned Numbers Authority (IANA)。
http://www.iana.org/
プレスリリースのダウンロード
参考情報
-
IPA「DNSキャッシュポイズニング対策」2009年2月6日更新
http://www.ipa.go.jp/security/vuln/DNS_security.html -
IPA「DNSキャッシュポイズニング対策の資料を公開」2009年1月14日公開
http://www.ipa.go.jp/security/vuln/documents/2009/200901_DNS.html -
IPA「DNSサーバの脆弱性に関する再度の注意喚起」2008年12月19日公開
http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html -
IPA「複数の DNS 製品の脆弱性について」2008年7月24日公開
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html -
JPCERT/CC:2008年7月24日公開
http://www.jpcert.or.jp/at/2008/at080014.txt -
JVN iPedia:2008年7月23日公開
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001495.html -
JVN:2008年7月9日公開
http://jvn.jp/cert/JVNVU800113/ -
US-CERT:2008年7月8日公開
http://www.kb.cert.org/vuls/id/800113 -
NVD:2008年7月8日公開
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1447 -
CVE:CVE-2008-1447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構
セキュリティ センター(IPA/ISEC) 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 
報道関係からのお問い合わせ先
独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 
更新履歴
| 2009年 2月 6日 | 参考情報を更新 |
|---|---|
| 2009年 1月14日 | 参考情報を追加 |
| 2008年12月19日 | 参考情報を追加 |
| 2008年 9月18日 | 掲載 |
