DNSキャッシュ汚染攻撃でシマンテック製品の一部に緊急パッチ|セキュリティ・マネジメント|トピックス|Computerworld

CW_Welcomeバナー

header_cwr_head_mid_fl_logo

CW_ADJUST_ウルトラバナー

CW_ウルトラバナー_Topics02

CW_ウルトラバナー_Topics04

CW_ウルトラバナー_Topics05

CW_ウルトラバナー_Topics06

CW_ウルトラバナー_Topics07

CW_ウルトラバナー_Topics08

セキュリティ・マネジメント

RSS

DNSキャッシュ汚染攻撃でシマンテック製品の一部に緊急パッチ

(2005年03月08日)

 インターネット利用者にアドウェアやその他の好ましからざるプログラムをそのコンピュータにダウンロードさせるために、オンライン詐欺師らがいわゆる「DNSサーバのキャッシュ汚染攻撃」を利用しようとしているようだ。

 米シマンテックの「Symantec Gateway Security Appliance」および「Symantec Enterprise Firewall」の古いバージョンを使用している一部ユーザーが、DNSキャッシュ汚染攻撃を先週後半から経験しており、シマンテックは3月4日に、それらの製品のセキュリティ・ホールを塞ぐための緊急修正プログラムを発行した。

 そうしたユーザーは、たとえばGoogle.com、eBay.com、Weather.comのような人気WebサイトにWebブラウザでアクセスしようとした際に、好ましからざるプログラムをインストールする別のWebページに導かれてしまった、とSANSインスティチュートのインターネット・ストーム・センター(ISC)のCTO(最高技術責任者)、ヨハネス・ウルリッチ氏は語る。

 同氏によると、こうした攻撃は3月3日または4日に始まっており、それは、DNSキャッシュ汚染を利用した攻撃としてはおそらく最大規模のものの一つだという。

 DNS(ドメイン名システム)は、たとえばwww.computerworld.comのような文字によるWebドメイン名を、インターネット上のマシン同士がデータをやりとりするのに使われる数値のIPアドレスに変換するのに使われているコンピュータの世界ネットワークである。DNSキャッシュ汚染攻撃に利用されるのは、Webドメインに対するIPアドレスのリクエストを受け取るDNSサーバが、別のWebドメインのアドレスについての情報を返す(たとえば、www.yahoo.comに対応したIPアドレスが要求されているのに、要求されていないwww.google.comやwww.amazon.comのアドレスについての情報を返す)ことができる機能だ。その更新されたアドレス情報は、要求元のDNSサーバによって、インターネット・ドメインの一時的なリスト(キャッシュ)に格納され、以降に要求があったときに呼び出される。

 DNSキャッシュ汚染攻撃では、悪意のハッカーらが自分たちがコントロールしているDNSサーバを使用して、正しくないアドレスを他のDNSサーバに送る。そうして汚染されたDNSサーバにWebサーフィン・リクエストへの対応を依存しているインターネット・ユーザーが、有名なWebサイトのURLを入力すると、思わぬWebページまたは悪質なWebページが開かれるおそれがある、とウルリッチ氏。

 シマンテックの一部製品には、その製品が保護するネットワーク上のユーザーがDNSサーバとして使用できるプロキシが含まれており、そのDNSプロキシが汚染攻撃にさらされるおそれがあった。シマンテックが公開している情報によると、この脆弱性は、Microsoft WindowsまたはSun Solaris OS向けのSymantec Enterprise Firewallバージョン7.xと8.x、Symantec Enterprise VPN (Server) バージョン7.x、Symantec Gateway Security Applianceバージョン1.0と2.0, Symantec VelociRaptorバージョン1.1と1.5に影響する。

 ウルリッチ氏によると、これらの製品を使用している一部のネットワーク上のインターネット・ユーザーが、Google.comなどのWebサイトにアクセスしようとしたところ、ABXツールバー(検索ツールバー兼スパイウェア・プログラムで、ポップアップ広告を表示するスパイウェア・プログラム)のインストールを試みる攻撃Webページに導かれてしまった。

 これらのケースでは、ユーザーが不正に導かれた先のWebサイトが、ユーザーがアクセスしようとしたサイトを偽装していなかったので、DNSキャッシュ汚染攻撃であることは簡単に判別できた。しかし、本物そっくりに偽装したサイトに導いてインターネット・ユーザーから個人情報をこっそり取得するために、DNS汚染攻撃が利用されるおそれもある。

 ISCでは、この攻撃に利用されたWebサイトとDNSサーバのインターネット・アドレスを収集し、それらを停止させるかブラックリストに載せようとしているという。

 影響を受けるシマンテック製品のユーザーは最新のホットフィックスをインストールすべきだ、とウルリッチ氏は述べている。同氏は、今回の攻撃はシマンテックの顧客を標的にしていたわけではなく、たまたま広範なDNSサーバに対して行われている攻撃に、それらの製品が脆弱だっただけだと見ている。なお、シマンテックは昨年6月に、今回と同じ製品の多くに見つかったDNSキャッシュ汚染攻撃の脆弱性を塞ぐための修正プログラムを発行しているが、それを適用済みでも、最新のDNSサーバ・キャッシュ汚染攻撃は防げない、と顧客の一部はISCに語っている。

(As reported by Paul Roberts, IDG News Service 03/07/2005)

記事詳細テキストバナー

ページの先頭へ戻る

CW_Topics_レクタングルバナー08

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

スポットライト

PR

CW_ADネットワーク_レクタングルバナー

フッター_impActウルトラバナー

content_bottom_cwr_txt

セキュリティ・マネジメント|Computerworld - エンタープライズITの総合ニュースサイト

Computerworldは、エンタープライズITの総合情報メディアです。90カ国に展開するIDGのグローバルな情報網を駆使し、世界の最新トレンドやケーススタディ、さらには情報システム/ネットワークの構築・運用テクニックなどをわかりやすく解説します。