【攻撃の踏み台】オープンリゾルバの脅威についてさらに詳しい解説


「オープンリゾルバ」の問題についてさらに詳しく解説いたします。

 

オープンリゾルバとは

リゾルバとは、DNSサーバーに対してIPアドレスをドメイン名に変換するための問い合わせプログラムのことです。オープンリゾルバとは、DNSキャッシュサーバーの中でリゾルバからの問い合わせについてアクセス制限が設けられておらず、所属ネットワーク外からも問い合わせを受け付けてしまうものを言います。これを放置した場合、アクセス制限が設定されていないため攻撃の踏み台として利用される、キャッシュファイルを悪意に書き換えられるなどの被害を受ける可能性があります。

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_008

警察庁サーバー犯罪対策課は、2014年6月以降オープンリゾルバを検索していると思われる通信が増加していると報告しています。

警察庁:日本国内のオープン・リゾルバを踏み台としたDDoS攻撃発生に起因すると思われるパケットの増加について
http://www.npa.go.jp/cyberpolice/detect/pdf/20140723.pdf

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_002
オープンリゾルバが放置された場合に受ける可能性のある被害の代表的なものとしては、DNSリフレクション攻撃、DNSキャッシュポイズニングがあります。

 

 

DNSリフレクション攻撃とは

DNSリフレクション攻撃とは、DNSサーバーの問い合わせに対する返信を利用して標的に大量のデータを送りつけサービス不能に陥れる攻撃を言います。DNSサーバーへドメイン名の問い合わせが行われた場合、DNSサーバーは問い合わせを行ったIPアドレスに対してドメイン名を返信します。IPアドレスが偽装されている場合、DNSサーバーは偽装されているIPアドレスに対して返信を行います。
DNSサーバーから返信されるデータは、IPアドレスから送信されたデータに比べてかなり大きくなります。そのため、あえて通信をDNSサーバーから行わせる事でか、相手方へ大量データを送りつけることができます。

オープンリゾルバは、ハッカーを含めた外部からのアクセスを受け入れてしまうため、攻撃に利用される可能性が高いと言えます。

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_009

 
2014年7月には欧米のスパム対抗組織 spamhouseに対して史上最大規模と言われるDNSリフレクション攻撃が行われたと報じられました。

Spamhouseブログ:Second arrest in response to DDoS attack on Spamhaus(英語)
http://www.spamhaus.org/news/article/715/second-arrest-in-response-to-ddos-attack-on-spamhaus

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_003

DNSキャッシュポイズニングとは

DNSキャッシュポイズニングとは、DNSキャッシュサーバー内の情報を書き換えることによりユーザーをフィッシングサイトなどに誘導する攻撃手法です。

DNSキャッシュサーバーに問い合わせを行った場合、正常であれば以下の手順で処理されます。
1.リゾルバがDNSキャッシュサーバーにドメイン名で問い合わせを行います。
2.サーバー内に該当する情報があればそれを返信します。無い場合はDNSコンテンツサーバーに問い合わせます。
3.コンテンツサーバーから取得した情報をリゾルバに返信し、取得した情報は一定期間サーバー内に保存されます。

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_010

 

DNSキャッシュポイズニング攻撃は以下の手順で行われます。
1.ハッカーがリゾルバを使いDNSコンテンツサーバーへドメイン名で問い合わせを行います。
2.DNSキャッシュサーバーがDNSコンテンツサーバーへ問い合わせを行います。
3.DNSコンテンツサーバーの返信より先にハッカーがDNSコンテンツサーバーに偽造した返信を行います。
4.ハッカーが偽装した返信の内容が一定期間DNSキャッシュサーバー内に保存されます。
5.このDNSキャッシュサーバーへ問い合わせを行ったリゾルバには、ハッカーが偽造した接続情報が返信されます。

KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_011

 

DNSキャッシュサーバーがオープンリゾルバの場合、外部のどのIPアドレスからもドメイン名の問い合わせを受け入れるため、DNSキャッシュポイズニング攻撃の被害を受ける可能性が高いと考えられます。
警察庁、JPCERT、JPINICをはじめとした各組織はオープンリゾルバの根絶を目指して、サーバーの設定の確認と変更を強く呼びかけています。

JPCERT:オープンリゾルバ確認サイト公開のお知らせ
https://www.jpcert.or.jp/pr/2013/pr130002.html
KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_004

Open Resolver Project(英語)
http://openresolverproject.org/
※spamhouseへの攻撃を契機に設立されたオープンリゾルバ撲滅プロジェクト
KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_005

具体的な設定方法についてはJPINIC注意喚起ページをご参照ください。

JPINIC:オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/
KIS2015_ブログ記事_オープンリゾルバについて_2014_12_11_007