CW_Welcomeバナー

セキュリティ・マネジメント

RSS

【Black Hat USA 2008】

DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介

「SSLはわれわれが思っているような万能薬ではない」と強調
(2008年08月07日)

 米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー(Dan Kaminsky)氏は、DNS(Domain Name System)プロトコルの欠陥を発見したことで一躍脚光を浴びて以来(関連記事)、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat」(8月2日〜7日開催)で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。


Black Hat」の公式サイト

 Kaminsky氏はこの2カ月ほど、コンピュータがインターネット上でお互いを見つけるために使うDNSの大規模な欠陥を修復すべく、ソフトウェア・ベンダーやインターネット企業と協力することに全力を傾けてきた。Kaminsky氏が最初にこの問題を公表したのは7月8日で、企業ユーザーとインターネット・サービス・プロバイダー(ISP)に対し、早急にソフトウェア・パッチを適用するよう促した。

 8月6日、同氏はBlack Hatで行われた超満員のセッションでこの問題の詳細を明らかにし、DNSを悪用する多数の攻撃法を紹介した。また、同氏はこの攻撃を受ける可能性があるインターネット・サービスを安全にするため、どういう仕事に取り組んできたかについても説明した。

 Kaminsky氏は、DNSプロトコルの仕組みに潜む一連のバグをエクスプロイトすることで、短時間のうちにDNSサーバを不正情報で満たす方法を突き止めていた。犯罪者はこのテクニックを使って犠牲者を偽サイトに誘導できるという。また、Kaminsky氏は同セッションの講演において、ほかにも多数の攻撃法を紹介した。

 同氏は、この欠陥を突くことで、電子メール・メッセージやソフトウェア・アップデート・システム、さらにはWebサイトにおけるパスワード回復システムさえも攻撃できることを証明して見せた。

 それまではSSL(Secure Socket Layer)を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWebサイトの有効性を確認するためのSSL証明書でさえ、DNS攻撃により回避できることを実証した。問題は、SSL証明書を発行する会社が証明書を確認する手段として電子メールやWebなどのインターネット・サービスを使っていることにあるという。「これではDNS攻撃の前では決して安全とは言えない」とKaminsky氏は警鐘を鳴らす。

 「SSLはわれわれが思っているような万能薬ではないのだ」(同氏)

 もう1つの大きな問題は「パスワード忘れ」を装う攻撃であるとKaminsky氏は指摘した。この攻撃は、Web上にパスワード回復システムを用意している多くの企業に影響を及ぼす。犯罪者は、サイト上でユーザー・パスワードを忘れたように装い、DNSハッキング・テクニックを使って、そのサイトにパスワードを自分のコンピュータに送るよう仕向けることができるのだ。

 Kaminsky氏は、DNS攻撃にかかわる諸問題を解決するため、DNSベンダーに加えて、米国のGoogleやFacebook、Yahoo!、eBayなどの企業とも協力したという。「携帯電話の今月分の請求書は見たくもない」と同氏は苦笑する。

 コンファレンスの参加者の中には、Kaminsky氏の講演を大げさすぎると一蹴する人もいたが、米国OpenDNSのCEO、デビッド・ウルヴィッチ(David Ulevitch)氏は、インターネット・コミュニティに貴重な一石を投じた人物だとして高く評価している。「DNS攻撃の全貌はまだ完全に解明されたわけでないが、インターネット・ユーザー全員に影響することはまちがいない」とUlevitch氏は注意を促す。

 とはいえ、いくつか思わぬトラブルもあった。Kaminsky氏がこの問題を初めて指摘してから2週間後、セキュリティ会社の米国Matasano Securityがバグの詳細を誤ってインターネットに漏らしてしまったのだ(関連記事)。また、最初のパッチを適用してから、膨大なトラフィックを扱う一部DNSサーバが正常に稼働しなくなったり、IPアドレスを変換するファイアウォール製品が、この問題を解決するために加えられたDNSの変更を誤って元に戻してしまうといったトラブルも発生した。

 Black Hatでの講演後、Kaminsky氏にインタビューを行い、DNS攻撃への対応策についてコメントを求めたところ、いろいろ大変な思いはしたものの、必要ならもう一度やり直してもかまわないという頼もしい答えが返ってきた。

 「数億人がより安全になった。完璧とは言わないまでも、自分としては期待以上の成果を上げられたと自負している」(同氏)

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

記事詳細テキストバナー

ページの先頭へ戻る
 

注目キーワード

 
 

CW_Topics_レクタングルバナー08

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

CW_ADネットワーク_レクタングルバナー