キャッシュポイズニング攻撃によるアクセス増加、JPRSが注意喚起：「ポートのランダム化」などの対策を強く推奨

日本レジストリサービスは2014年4月15日、日本の大手ISPにおいて、「カミンスキーアタック」によると思われるアクセスが増加していることを踏まえ、ソースポートのランダム化などのキャッシュポイズニング攻撃対策を取るよう注意を呼び掛けた。

[高橋睦美，＠IT]

　日本レジストリサービス（JPRS）は2014年4月15日、日本の大手インターネットサービスプロバイダー（ISP）において、「カミンスキーアタック」によると思われるアクセスが増加しているとの報告を受けたことを明らかにした。

　JPRSではこの事態を踏まえ、DNSサーバーの設定を再確認し、問い合わせUDPポートのランダム化（Source Port Randomization）を有効にする対策を取るよう推奨している。

　カミンスキーアタックは、2008年夏に話題になった攻撃手法だ（関連記事）。元々DNSサーバーに関しては、外部からDNSキャッシュサーバーに虚偽の応答を注入され、利用者を偽のサイトに誘導してしまう、「キャッシュポイズニング」という攻撃手法が知られていた。悪用されれば、ユーザーが偽のDNS情報を参照し、例えば銀行のサイトにアクセスしたつもりでも、フィッシングサイトなど悪意あるサイトに誘導されてしまう恐れがある。カミンスキーアタックは、このキャッシュポイズニング攻撃の効率を劇的に高める手法だ。

　JPRSによると、最近、このカミンスキーアタックによるものと思われるDNSキャッシュサーバーへのアクセスが増加しているという。

　根本的な対策は、DNSSECの採用ということになるが、現状ではあまり普及していない。現実的な対策は、ソースポートのランダム化を有効にすることだ。カミンスキーアタックが公になった後、BINDなどDNSサーバーソフトウェアではソースポートのランダム化を有効にするためのパッチがリリースされた（BIND 9.5.0-P2、9.4.2-P2、9.3.5-P2）。最新のバージョンではこの機能が標準で実装されている。

　カミンスキーアタックが公になる前、ソースポートのランダム化という対策を取っていないと見られるサーバーは約5割を占めていたが、攻撃が話題となり、パッチがリリースされてから約半年後の2009年12月末時点で約2割にまで減少した（関連記事）。しかしJPRSによると、2014年4月時点でも約10％程度が未対応と見られるという。

　JPRSでは、DNSサーバーの設定ファイル（BINDの場合「named.conf」）の内容を確認し、ソースポートのランダム化が無効に設定されていないかどうかをチェックするよう推奨。また、ファイアウォールやルーターなど、組織内のネットワーク機器のNAT機能によってソースポートのランダム化が無効にされてしまう場合があることから、機器側の設定も確認し、対策するよう呼び掛けている。

　なお、ソースポートのランダム化はカミンスキーアタックを完全に防ぐわけではなく、あくまで攻撃が成功する確率を約6万5000分の1に下げる緩和策である点に注意が必要だ。だが、だからといってこの対策を取らない場合、キャッシュポイズニング攻撃を受けた場合「数秒〜数分程度の試行で攻撃を容易に成功させることができるため、きわめて危険な状態」（JPRS）に置かれてしまうという。「インターネットからの不要な再帰問い合わせ制限を行う」「DNSサーバーの監視を行う」といった他の対策との併用によって、効果を高めることができるという。

　2014年4月7日には、OpenSSL 1.0.1／1.0.2系のHeartbeat拡張に「Heartbleed」と呼ばれる深刻な脆弱性が発見された。Heartbeat拡張の実装に問題があり、リモートの通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵が盗み見られる恐れがあるというものだ。もし、この攻撃で盗まれたサーバー証明書の秘密鍵を用いてフィッシングサイトなどを作られても、ユーザー側では見分けることができない。そして仮に、キャッシュポイズニング攻撃によって、盗んだ秘密鍵を用いた偽サイトに誘導された場合、ユーザーがそれに気付く術はほとんどないことになる。