パスワードを忘れた? アカウント作成
12405 story

ネットのドメインの85%は乗っ取り攻撃から逃れられない 65

ストーリー by kazekiri
DNSならではの脆弱性 部門より

oddmake曰く、"BBC記事より。コーネル大学計算機学科Emin Gun Sirer教授らの研究チームは、インターネット上のドメインが名前解決に依存するDNSサーバの数やその脆弱性に対して大規模な調査を行い、実に85%ものドメインが乗っ取りに対して脆弱であることがわかったと発表した(PDFの論文)。 平均的なドメインはルートサーバを除いて約46ものDNSサーバに名前解決を依存しており、そのうち17%ものDNSサーバに良く知られた脆弱性があり、セキュアなDNSサーバにDDoS攻撃を仕掛ける一方で脆弱なDNSサーバを攻撃するという手法によりほとんどのドメインは乗っ取られてしまうということだ。 調査の結果から判明した脆弱なドメイン名Top500には、www.openbsd.orgwww.openssh.comwww.daemonnews.orgwww.emacswiki.orgといったドメイン名もあがっている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by minque (16136) on 2006年04月29日 21時40分 (#930811)
    これからは、IPで行きましょうよ。
    • by Anonymous Coward
      V6普及促進とかけもちで!?

      # バーチャルホスト、バーチャルドメインのwebやmailは何処に行けばいいの?
    • by Anonymous Coward
      ルータを乗っ取られたら
      勝手にルーティングテーブル書き換えられたり
      IPアドレスでも同様の現象になりませんか?
      • 正直なところ仰る意味が分かりかねるのですが、、、
        ルーティングテーブルをStaticで書き換えたところで、Unreachableになるだけかと思います。
        それともBGPのフラッピング狙いですかね。それなら少しは混乱を招くことも可能かもしれないです。

        もしやNAT+Staticですか?
        それならルータにサーバを直付けしてどうやらこうやらすれば何とかなるかも知れません。

        #明日は出社なのでID
        親コメント
      • by Anonymous Coward
        そんなことを言い始めたらキリがないですな
        ルータ乗っ取ってテーブル書き換えるのとDNS改ざんとどっちが楽だろう
  • by Anonymous Coward on 2006年04月29日 18時14分 (#930700)
    だから日本の汎用ドメインは世界最強なのです!

    #書いてて恥ずかしかったので『おもしろおかしく』AC
    #ひそかに自分の管理しているドメインも探していたのでAC
    • by Anonymous Coward on 2006年04月29日 21時21分 (#930793)
      マジレスすると、JPRSが不適切な設定をしたDNSサーバを毎月一回削除しています。
      JPRSがDNSサーバの危険な設定を削除開始 [jprs.co.jp]

      しかしながら、国内ISPのDNSサーバの中にですら
      第三者に対してキャッシュサーバとして機能してしまうものがあるのも現実です。
      親コメント
    • by Anonymous Coward on 2006年04月29日 18時37分 (#930712)
      Slashdot.jpを調べる [cornell.edu]とか分かったんですが、
      最初に、TLD、ccTLDが使っているRootDNSにどのぐらい依存しているか調べて、そのあとユーザ側が登録しているDNS名に対してさらに、どんなドメインDNSが関係しているのか調べていくみたいですけど、自分のドメイン幾つかでやったらきちんとDNSがチェックされていない気がするのですが…。

      結局依存するDNS数を減らすには、似たドメイン(.NETなら.NET)だけで運営することはいいことなんだみたいな結果が出るのもどうかと…。
      親コメント
  • by maimi09 (20395) on 2006年04月29日 19時33分 (#930743) ホームページ 日記
    私の知るかきりでは10年ぐらい前でしょうか、ITニュース系サイトの記事などで論じられることがあったようにおもいます。

    たとえ接続を意図する[URI|URL]が正しく入力されていたとしても「DNSが返答するアドレスが偽者だったら、[閲覧|利用]者の意図しない偽サイトへ誘導されてしまう。」ということですね。

    サイトの規模が大きくなればなるほど、「分散処理をさせるのに空いている機械のアドレスをDNSが返答して誘導する芸当」とかが一つの選択肢でしょうから・・・

    DNSが返答するアドレスのリストに1つや2つ偽アドレスが混じっていた場合で偽装サイトに誘導されてしまったら、一目で本物か偽者か判断するのが難しでしょうし、サポートも指摘された事件に気が付かない状況もありうるように感じています。

    何かしょうめいする代物をつけるとしても「電子署名みたいに信頼できるのは(本物の本人からの)手渡しのみ」だったりして・・・

    私が思うところでは、汎用性を持たせる必要のあるWebブラウザをベースに考えた時点で、アドレスを自動的に検証するなんて芸当は難しいように思えます。

    /* ネットも安全に使うには防犯と一緒で「みんながインチキしない」ってことなのかな。 */
    --
    大槻昌弥(♀) http://www.ne.jp/asahi/pursuits/ootsuki/
    • その話はクライアント側の被害問題であって
      今回の脆弱性の話とはちょっとおふとぴ
  • by Anonymous Coward on 2006年04月29日 21時33分 (#930806)
    VISA問題 [e-ontap.com]。
    スラドのトピだれか貼ってちょうだい。
  • by Anonymous Coward on 2006年04月29日 17時51分 (#930694)
    100%のドメインは、中国に乗っ取られる可能性があります。
    検閲してるんでしょ。
    • by Anonymous Coward
      其れを云うなら、北朝鮮。だって、The Internetに参加しないで、自分達だけで独自でやってるんだから……
      (使ってる技術は基本的にThe Internetと同一らしい。)
  • by Anonymous Coward on 2006年04月29日 18時15分 (#930701)
    調査の結果、わがコーネル大学も乗っ取られる可能性が高い。
    大学側の設定強化を強く望む

    #妄想の戯言なのでAC
  • by Anonymous Coward on 2006年04月29日 18時20分 (#930704)
    DNSなんか乗っ取られたってへっちゃらさ。
    だって、SSLがあるもん。
    • Re:SSLがあれば万全 (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2006年04月29日 20時20分 (#930765)
      腐った行政サイトのおかげで、「オレオレ証明書だぞー、危険だぞー」というブラウザの警告を無視する人はいっぱいいるでしょう。SSLがあるからと言って安心していいわけではないような。

      DNSポイゾニングされて、サイトの利用者がブラウザの警告を無視して他のサーバに個人情報を送信したとき、責任の所在はどこにあると世間ではみなされるのでしょうね。
      親コメント
      • by Anonymous Coward
        「ユーザーがどんな警告も無視する」とか「どんな悪意あるプログラムが走っているか分からない」という前提だったら「何をやっても無駄」という結論以外は出てきようがありませんが。
        他に管理者がいるのであれば、バカには管理者権限を与えないことで何とかなるかもしれませんが、バカが自分のアカウント上に持っている情報の流出は防ぎようがありませんね。
        • by USH (8040) on 2006年04月30日 1時04分 (#930904) 日記

          「ユーザーがどんな警告も無視する」とか「どんな悪意あるプログラムが走っているか分からない」

          もとのレスは行政機関のオレオレ認証が、こういう自体をまねきかねないことを批判しているのでは?

          社会なんて、所詮相互の共通認識と自制でしか成り立っていないので、それらを形成しやすい環境を作るのが国の役目。行政機関のオレオレ認証はその共通認識を狭めることにしか役立っていないのが問題。
          親コメント
      • by Anonymous Coward
        > 責任の所在はどこにあると世間ではみなされるのでしょうね。

        何ゆえ不要であろう「世間では」という語句を付けるのか?
        純粋に「責任の所在はどこにある」のか考えるだけじゃご不満?

    • by Anonymous Coward
      SSLがあれば、DNSが乗っ取られても正規のサイトに繋がるんですか?
      • by Anonymous Coward on 2006年04月29日 19時49分 (#930752)
        もちろん、それは無理です。 しかし、間違った相手に繋いでいることは分かるので危険は避けられます。

        IPアドレス直書きは、問題がDNSの乗っ取りだけだとはっきり分かっているなら 効果があります。しかし現実には、何が脅威なのか不明な場合がほとんどであり、 たとえDNS 乗っ取りが起きていることは分かっていても、他の脅威の危険もある わけですから、推奨できない回避策でしょう。

        親コメント
  • by Anonymous Coward on 2006年04月29日 19時02分 (#930730)
    結局上位(プロバイダ側)がやられたら終わりのような
    気がするのですが・・個人的には

    allow-recursion
    allow-query
    allow-transfer

    辺りで範囲を特定しておくと言うのは行っているのですが、
    攻撃から防ぐ為に具体的にどう対処するのが良いのでしょう?
    #DNSを使わない運用とか言うのは無しで。

    • by Anonymous Coward
      >allow-recursion
      >allow-query
      >allow-transfer

      DNSがUDPを使っている限り、これだけでは完全には
      防ぐことができません。
      recursion用のDNSサーバをFirewallやNATの内側に入れれば
      大分マシになりますが、100%完全ではありません。

      グローバルなIPを持つDNSサーバはコンテンツサーバのみに
      しておき、分けて使いましょう。

  • by Anonymous Coward on 2006年04月29日 19時54分 (#930754)
    > 平均的なドメインはルートサーバを除いて
    > 約46ものDNSサーバに名前解決を依存しており

    マジスカ。セカンダリ数えてもそんなに依存してるかなー?
  • by Anonymous Coward on 2006年04月29日 21時24分 (#930798)
    自分のドメインが含まれていないか検索した人手をあげて

    # なかったけどAC
  • by Anonymous Coward on 2006年04月29日 22時12分 (#930830)
    ブラウザの機能として、正引きで得られたIPアドレスをwhoisで引いた結果の一部を表示したらどうかな?
    • Re:whoisを使って (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2006年04月29日 22時39分 (#930843)
      DNS だまされたら、偽物のwhoisサーバに繋がることにもなりますが、
      そこで 正しいwhoisサーバに接続して結果が得られている、
      という保証はどこにあるのでしょうか?

      親コメント
      • Re:whoisを使って (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2006年04月30日 2時07分 (#930941)
        D=だまされたら、
        N=偽物のwhoisサーバに繋がることにもなりますが、
        S=そこで 正しいwhoisサーバに接続して結果が得られている、という保証はどこにあるのでしょうか?

        ってことか。
        親コメント
      • by Anonymous Coward
        そのwhoisへの確認は直IPで問合せってのはどう?
  • by Anonymous Coward on 2006年04月30日 0時45分 (#930894)
    今こそOpenBindを作る時です!!!
    • by Anonymous Coward on 2006年04月30日 1時53分 (#930925)
      BIND が open でないと?

      つーか、冗長性を確保するために NS をたくさん用意すると、
      再帰検索するのに問い合わせる可能性のある DNS サーバがふえるのは自明だわな。
      特にヨーロッパ方面では NS が複数の ccTLD にまたがってるドメインが多いから、
      名前解決するのにあっちこっちの DNS が関係してくる。openbsd.org はまさにそれで、
      NS のひとつが .se であるために多数の DNS が関係することになってる。

      関係する DNS が増えればそのうちのいくつかに管理の甘いサーバが出てくるのは、
      まあ、あたりまえでしかたのないことだ。
      そもそも関係するホストが少なければ安全かというと必ずしもそうともいえない。
      たとえば、.jp の DNS はすべて .jp に閉じていて、いくつもの DNS に頼らずに
      名前解決できるように考えて作られている。でも、すべての *.dns.jp が
      同じバージョンの BIND で動いているので、もし万が一 BIND 9.3.2 に
      パケットひとつで攻略できるような未知の穴があって、それをゼロデイアタックで狙われると
      .jp は全滅するということは覚えておいた方がいいと思う。
      親コメント
  • by Anonymous Coward on 2006年04月30日 2時46分 (#930951)
    正しく設定されたDNSだって、セキュリティの「セ」の字もない様な所に置かれてるとか、typoして気が付かない管理者に管理されてるケースだってあるかもしれず。
    もっといや、正しく設定管理されているDNSサーバだって、まだまだ未知の脆弱性を抱えている事も事実だろう。

    所詮完全な安全なんて夢物語なんよ。だから、管理者は日夜戦ってる訳なんよ。変に現時点での研究結果を見て、安全だって慢心する方が危険だと思うんだな。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...