2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」
「検知が困難でたちが悪い」と調査会社が注意を呼びかけ米国White Hat Securityの研究者らがまとめた2010年版の深刻なセキュリティ脅威トップ10では、DNSリバインディングが1位となった。同社では、2006年から毎年、脅威トップ10を発表している。
DNSリバインディングは、攻撃者が被害者のWebブラウザを、攻撃者の命令を実行するWebプロキシへと変えてしまう攻撃である。攻撃者は、被害者のWebブラウザを欺いてLAN内のサーバにアクセスするように指示し、そこで見つけ出した社内データを攻撃者に送信させる。
こうした攻撃では、Webブラウザは普段と同じように動作し、DNSサーバが改竄されることもない。そのため、「見つけることはほとんど不可能だ。形跡はなにも残らない」と、White Hat SecurityでCTO(最高技術責任者)を務めるジェレミア・グロスマン(Jeremiah Grossman)氏は語る。
DNSリバインディングでは、被害者が攻撃者のWebサイトにアクセスすると、Webブラウザが悪意のあるJavaScriptをダウンロードする。そのJavaScriptは、攻撃者サイトのIPアドレスに対して2番目のリクエストを発行する。攻撃者サイトは、このリクエストに応える際に、今度はLANで一般的に使用されるIPアドレスで応答する。
この結果、攻撃者サーバから社内サーバへのリンクが許可されることになる。2つのサーバ(社内サーバと攻撃者サーバ)の生成元ホスト名が同じであることから、Webブラウザは、それらのサーバ間のトラフィックを許可するのだ。
スタンフォード大学の研究者らが行った研究では、DNSリバインディングを実行するように設定したWebサイトにユーザーを誘導したところ、10万にも上るユーザーに対して攻撃が成功したという。
JavaScriptによる攻撃は、PCのマシン上で発見することが難しい。また、DNSサーバへの攻撃が行われているわけではないため、ファーミング対策は通用しない。「DNSリバインディングは非常にたちが悪い」とグロスマン氏。
(Tim Greene/Network World米国版)
