DNSサーバーへの脅威 オープンリゾルバ等


マルウェア、コンピューターウィルスは、パソコンなどに感染し各種の悪事を働きますがハッカーの標的はパソコンだけではありません。ネットワーク機器やデータベース、サーバーなど通信やサービスを提供する様々な機器やシステムが攻撃します。今回は、ネットワーク機器の一つである「DNSサーバー」への攻撃について説明します。

 

DNSサーバーを攻撃する理由

DNSサーバーは通信先の指定に使われるため、DNSサーバーを攻撃することによりユーザーに無断で通信先を変える事ができます。また、DNSサーバーには他者に知らせるべきでは無い「IPアドレス」や「企業内のサーバーの名前」などが登録されています。設定の不備や脆弱性を攻撃することにより、これらの情報を取得することができます。DNSサーバーに存在する脅威について、代表的なものには、オープンリゾルバ、ゾーン転送による同期の際の情報漏洩、DNSキャッシュポイズニングがあります。

 

オープンリゾルバ

DNSサーバーの一種であるDNSキャッシュサーバーでは、サーバー自身が管理するドメインは無く、問い合わせを受け付けた後にインターネット上でドメイン名やIPアドレスの検索を行い結果を返信します。この種類のDNSサーバーでは管理者側で名前の問い合わせを制限する必要がありますが、サーバーによってはこの設定が行われていない場合があります。

所属するネットワーク外からの問い合わせにも応答する設定は「オープンリゾルバ」と呼ばれ、設定としては非常に不適切とされます。問い合わせ元を組織内に限定する設定を行わない場合、DNSリフレクション攻撃やDNS Flood攻撃の踏み台として容易に利用されてしまいます。警察庁では2014年7月より、オープンリゾルバを使用した攻撃を根絶するため、DNSサーバーの設定を変更するよう呼びかけを行っています。

日本国内のオープン・リゾルバを踏み台としたDDoS攻撃発生に起因すると考えられるパケットの増加について
http://www.npa.go.jp/cyberpolice/topics/?seq=14181

KIS2015_ブログ記事_2014_12_10_DNSへの攻撃_002

ゾーン転送による同期の際の情報漏洩

DNSサーバーにバックアップを用意して運用する場合、双方のサーバーに登録されているIPアドレスやホスト名を同期する「ゾーン転送」が行われます。このゾーン転送に制限が設定されていない場合、第三者から登録情報が閲覧できます。結果としてネットワーク構成やサーバー構成などの機密情報が漏洩します。この問題は管理者側の設定で回避することができ、Microsoft社ををはじめとした各ベンダーが設定方法をサイト上て提供しています。

DNS ゾーンのセキュリティ保護
http://technet.microsoft.com/ja-jp/library/cc755193.aspx

KIS2015_ブログ記事_2014_12_10_DNSへの攻撃_004

DNSキャッシュポイズニング

DNSサーバーの一種であるDNSキャッシュサーバーでは、IPアドレスとドメイン名の対応情報をキャッシュとして保持します。DNSキャッシュポイズニングとは、サーバー内のキャッシュに偽の対応情報を登録します。ユーザーがそのDNSサーバーへ問い合わせを行った場合、偽の対応情報が返信されフィッシングサイトなどに誘導されることとなります。DNSキャッシュサーバーでは、IPアドレスとドメイン名の対応情報をDNSサーバーの一種であるDNSコンテンツサーバーへ問い合わせます。その際に、ハッカーがDNSコンテンツサーバーの応答より早く対応情報をDNSキャッシュサーバーへ送信することで対応情報が正規のものから偽のものへ書き換わります。DNSサーバーでは接続先の真正性をトランザクションIDとポート番号で識別しています。そのため、通信に使用されるトランザクションIDやポート番号に簡単に推測されるような設定がされてた場合、簡単に攻撃が成功すると言われています。

JVN(Japan Vulnerability Notes)では、2014年の4月よりDNSサーバーの脆弱性についての注意喚起を行っています。
JVNVU#800113:複数の DNS 実装にキャッシュポイズニングの脆弱性
https://jvn.jp/vu/JVNVU800113/index.html

KIS2015_ブログ記事_2014_12_10_DNSへの攻撃_003

 

—————————-用語解説—————————-

IPアドレスとは

IPアドレスとは、ネットワーク上で通信の相手方を識別するため使われる数字のみのアドレスです。
LANやインターネットを使用するためには、必ずIPアドレスが必要となります。
IPアドレスの例:122.209.126.203 (キングソフトホームページ)

DNSサーバーとは

DNSサーバーとはインターネットで使われるネットワーク機器の一つです。
正式には「Domein Name Server」と呼ばれ、ドメイン名とそれに対応するIPアドレスの変換を行います。

KIS2015_ブログ記事_2014_12_10_DNSへの攻撃_006

ドメイン名とは

ドメイン名とは、IPアドレスへの対応情報として設定されるアルファベットの文字列です。
IPアドレスは数字のみで設定されますが、数字のみの文字列を人間が記憶するのは困難です。
そのため、IPアドレスにはそれに対応するアルファベットの文字列を設定することができます。
ドメイン名の例:www.kingsoft.jp (キングソフトホームページ)

KIS2015_ブログ記事_2014_12_10_DNSへの攻撃_007

DNSサーバーの働きとは

アドレスが数値のみで書かれている場合、ユーザー側からはこれがどのアドレスか知ることができません。
そのため、IPアドレスに対応するドメイン名をアルファベットを使って設定することができます。
DNSサーバーの働きにより、ユーザーは数字のIPアドレスではなく文字のドメイン名(=アドレス=URL)で通信先を決める事ができると言えます。
例:www.kingsoft.jp (キングソフトホームページ)