【 ここから本文 】

セキュリティ・マネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示


セキュリティ・マネジメント

[米国] 【Black Hat USA 2008】
DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介

「SSLはわれわれが思っているような万能薬ではない」と強調

(2008年08月07日)

 米国のセキュリティ・サービス企業IOActiveの研究者であるダン・カミンスキー(Dan Kaminsky)氏は、DNS(Domain Name System)プロトコルの欠陥を発見したことで一躍脚光を浴びて以来(関連記事)、早朝6時にフィンランドの証明書発行当局から電話がかかってきたり、セキュリティ業界の仲間から厳しいバッシングを浴びたり、また今週米国ラスベガスで開催されているセキュリティ・コンファレンス「Black Hat」(8月2日〜7日開催)で講演する予定だった内容を漏らされたりと、散々な目にあってきた。だが、“インターネットにおける過去最大級のセキュリティ・ホール”として大きく取り上げられたDNS攻撃への対応策をひととおり済ませた8月6日、同氏は「もう一度やり直してもかまわない」と強い責任感をにじませた。

Black Hat」の公式サイト

 Kaminsky氏はこの2カ月ほど、コンピュータがインターネット上でお互いを見つけるために使うDNSの大規模な欠陥を修復すべく、ソフトウェア・ベンダーやインターネット企業と協力することに全力を傾けてきた。Kaminsky氏が最初にこの問題を公表したのは7月8日で、企業ユーザーとインターネット・サービス・プロバイダー(ISP)に対し、早急にソフトウェア・パッチを適用するよう促した。

 8月6日、同氏はBlack Hatで行われた超満員のセッションでこの問題の詳細を明らかにし、DNSを悪用する多数の攻撃法を紹介した。また、同氏はこの攻撃を受ける可能性があるインターネット・サービスを安全にするため、どういう仕事に取り組んできたかについても説明した。

 Kaminsky氏は、DNSプロトコルの仕組みに潜む一連のバグをエクスプロイトすることで、短時間のうちにDNSサーバを不正情報で満たす方法を突き止めていた。犯罪者はこのテクニックを使って犠牲者を偽サイトに誘導できるという。また、Kaminsky氏は同セッションの講演において、ほかにも多数の攻撃法を紹介した。

 同氏は、この欠陥を突くことで、電子メール・メッセージやソフトウェア・アップデート・システム、さらにはWebサイトにおけるパスワード回復システムさえも攻撃できることを証明して見せた。

 それまではSSL(Secure Socket Layer)を使えばこの攻撃から保護できると考える人が多かったが、Kaminsky氏はWebサイトの有効性を確認するためのSSL証明書でさえ、DNS攻撃により回避できることを実証した。問題は、SSL証明書を発行する会社が証明書を確認する手段として電子メールやWebなどのインターネット・サービスを使っていることにあるという。「これではDNS攻撃の前では決して安全とは言えない」とKaminsky氏は警鐘を鳴らす。

 「SSLはわれわれが思っているような万能薬ではないのだ」(同氏)

 もう1つの大きな問題は「パスワード忘れ」を装う攻撃であるとKaminsky氏は指摘した。この攻撃は、Web上にパスワード回復システムを用意している多くの企業に影響を及ぼす。犯罪者は、サイト上でユーザー・パスワードを忘れたように装い、DNSハッキング・テクニックを使って、そのサイトにパスワードを自分のコンピュータに送るよう仕向けることができるのだ。

 Kaminsky氏は、DNS攻撃にかかわる諸問題を解決するため、DNSベンダーに加えて、米国のGoogleやFacebook、Yahoo!、eBayなどの企業とも協力したという。「携帯電話の今月分の請求書は見たくもない」と同氏は苦笑する。

 コンファレンスの参加者の中には、Kaminsky氏の講演を大げさすぎると一蹴する人もいたが、米国OpenDNSのCEO、デビッド・ウルヴィッチ(David Ulevitch)氏は、インターネット・コミュニティに貴重な一石を投じた人物だとして高く評価している。「DNS攻撃の全貌はまだ完全に解明されたわけでないが、インターネット・ユーザー全員に影響することはまちがいない」とUlevitch氏は注意を促す。

 とはいえ、いくつか思わぬトラブルもあった。Kaminsky氏がこの問題を初めて指摘してから2週間後、セキュリティ会社の米国Matasano Securityがバグの詳細を誤ってインターネットに漏らしてしまったのだ(関連記事)。また、最初のパッチを適用してから、膨大なトラフィックを扱う一部DNSサーバが正常に稼働しなくなったり、IPアドレスを変換するファイアウォール製品が、この問題を解決するために加えられたDNSの変更を誤って元に戻してしまうといったトラブルも発生した。

 Black Hatでの講演後、Kaminsky氏にインタビューを行い、DNS攻撃への対応策についてコメントを求めたところ、いろいろ大変な思いはしたものの、必要ならもう一度やり直してもかまわないという頼もしい答えが返ってきた。

 「数億人がより安全になった。完璧とは言わないまでも、自分としては期待以上の成果を上げられたと自負している」(同氏)

(Robert McMillan/IDG News Serviceサンフランシスコ支局)




関連記事

▲ページの先頭へ戻る


ホワイトペーパー

「UTM」実践導入ガイド

「UTM」実践導入ガイド

巧妙化するあらゆる攻撃からネットワークを守る

プロダクト・フォーカス

日立製作所

データを安全に長期保管し、さらなる活用を促す――日立の「Hitachi Content Archive Platform」

コンプライアンス/内部統制時代のニーズに応えるコンテンツ・アーカイブ・ストレージ

セキュリティ・インサイト

既存メール環境の変更なしに導入可能な“透過型”スパム対策アプローチの実力

CATV統括運営会社に見る「マトリックススキャンAPEX」導入事例

McAfee SafeBootでの実績を土台にマカフィー製品を本格展開するマクニカネットワークス

マカフィーによる旧セーフブート社買収のシナジー効果を存分に生かす

企業の成長をサポートするサンのセキュリティソリューション

ビジネスのパフォーマンスは安全で積極的な情報活用から

企業に「安心・安全」を供給する日立ソフトの情報セキュリティ

「秘文」から「WriteShield」まで、一貫する情報セキュリティコンセプトとは

ビジネスを活性化するNECソフトのコミュニケーションセキュリティ

情報の堅ろうな保護と自由な共有を同時に実現

拡大するバラクーダネットワークスのセキュリティアプライアンス戦略

スパムメール対策からロードバランサ、Webアプリケーション保護まで

キャッチアップ

脳の活性化でパスワード記憶力を最大化――脳科学を駆使した英数字記憶術

テクノロジーに頼る前にみずからの記憶力を最大化する

CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

スパム・メールだけではない、CAPTCHAクラッキングの弊害

「Google Gadgetsを悪用すれば、マルウェアを強制インストールできる」――専門家が警鐘

パスワードの盗難や検索履歴が読み取られるおそれも

iPhone 3Gはビジネスでは使えない?――アナリストらがセキュリティ面を懸念

「ファイアウォールにも暗号化機能にも対応していない」

企業を危うくするセキュリティ[NG]集

ささいなミスも命取りに――10の「やってはいけないこと」

社員のアクセス管理は「無法状態」――組織の分散化が原因?

「アクセス権に関する責任の所在は特定が困難で、検討機会もない」

Windows Vistaのセキュリティを検証する

UAC、BitLockerなど主要強化点の実用度をチェック

情報漏洩に備える――ダメージを抑えるための心得7カ条

セキュリティ責任者が実践すべきこと、すべきでないこと

定番化した「画像スパム」と迷惑メールの最新の手口

風説の流布による株価操作といった犯罪化が顕著な傾向

データ漏洩・盗難対策を“完璧”に近づける「マルチレベル暗号化」のすすめ

ライフサイクル全般にわたるデータ保護を実現する

ソーシャル・メディアのセキュリティ・リスク

ブログ、Wiki、SNS、ビデオ共有……便利だが危険と隣り合わせのWeb 2.0

キーパーソン

「データ・シャッフリング」とは何か――開発者が説く新データ・マスキング技術

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

トレンドマイクロCEOのチェン氏、渦中の対バラクーダ訴訟について弁明

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

“元ホワイトハウスCSO”ハワード・シュミット氏が語る「今、ここにあるセキュリティ危機」

プライバシーとセキュリティのバランス/RFIDパスポートの問題点/企業によるITワーカーの素行調査……

ブルース・シュナイアー氏が語る「セキュリティ・シアター」の功罪

実際のリスクとのずれを生む一方で、過度の恐怖を軽減する効果もあり

「アイデンティティ/アクセス管理(IAM)は“焦らず、あきらめず”」――CAのガーディナー氏

CA幹部が語る、IAMプロジェクトの“正しい”進め方

「ITリスク管理の高度な専門性」が好調の要因――シマンテック幹部

グローバルサービス部門のヒューズ氏に聞く同社の取り組みと今日のセキュリティ問題

マカフィーにとって「マイクロソフトは味方、シマンテックは敵」

エンタープライズ市場に注力するマカフィーの新CEOが言明

マイクロソフトはもはや“セキュリティ後進企業”ではない!

「TwC(信頼できるコンピューティング)」担当副社長、セキュリティ強化戦略の“今”を語る

シマンテックのCEO、セキュリティ技術/市場の未来を示す

「いま、セキュリティのパラダイム・シフトが起きている」

セキュリティ連載

サイバー・セキュリティ[罪と罰]

サイバー・セキュリティ[罪と罰](全4回)

最新クラッキングの脅威を知り、みずからの身を守る

エンドポイント・セキュリティ対策の勘所

エンドポイント・セキュリティ対策の勘所(全2回)

クライアント環境を襲う各種の脅威に立ち向かう

情報漏洩100%対策

情報漏洩100%対策(全7回)

あらゆるリスク、ケースを徹底検証

プロアクティブ・セキュリティ

プロアクティブ・セキュリティ(全14回)

見えない敵に先手を打つ

Weekly Ranking

集計期間:11/25〜12/01



Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国