ここ数年、電子メールを悪用する事件が相次ぎ、ユーザ側の防御を固める製品導入は進んできました。ところが最近、ユーザ側ではなくWebサイト側への攻撃が現れ、Webサイトのセキュリティ強化が叫ばれるようになって来ました。以前このコーナーで紹介したWeb Application Firewall (Catch the Wind Vol.18)もそのひとつですが、今回はサイト乗っ取りなどの危険性が明らかになってきたDNSのセキュリティについて紹介します。

DNSサーバの危険性

2005年10月にインターネット関連のテストサービスを行う米Measurement Factory社がDNSサーバの現状に関する調査結果を発表しました。インターネット上でアクセス可能な130万箇所以上のDNSサーバを実際に検査したこの調査では、75％以上のDNSサーバに何らかの脆弱性を認めたとしています。

これらの脆弱なDNSサーバが攻撃された例もすでに報告されています。2005年3月に.comドメインを標的とした攻撃が米SANS Instituteから報告されました。この報告によると、インターネット上の脆弱なDNSサーバがキャッシュ･ポイズニングという手法で攻撃された結果、1,300種類以上のドメイン名を不正転送することにより、悪意のあるWebサーバへの接続や、メールの不正転送が行われたということです(右図参照)。 こうした攻撃は偽りのWebサイトを用意してパスワードなどを書き込ませて盗むファーミングや、トロイの木馬などをユーザに埋め込む犯罪によりユーザに直接の被害が及ぶだけでなく、踏み台となるDNSサーバの所有者にも賠償責任などを問われる可能性があります。その他にもDNSサーバを攻撃する手法としてDomain Name Hijacking、Zone Transfers DoS、DNS Backdoorなどが知られています。

こんなDNSサーバが危ない

前出のMeasurement Factory社では、脆弱性があると判断したDNSサーバの特徴をまとめています。今回の調査では、なんと84％のサーバで下記Aが疑われた他、多くのサーバでいずれかの脆弱性が確認されたそうです。

1. 外部からの任意の問い合わせに対して再帰的(recursive)な検索を行う
2. ゾーン転送を任意の要求元に対して許可している
3. 権威(authoritative)サーバが単一サブネット内でしか冗長化されていない

DNSサーバの防御方法

今回指摘された危険性はDNSサーバの配置と設定をきちんと行うことで解消できます。具体的には、まずファイアウォールの外部と接触するサーバを、外からの問い合わせに答える権威サーバと内部からの問い合わせに答えて外部を検索するフォワーダの2種類に物理的に分けた上で、再帰的な検索やゾーン転送などの機能を、適切なサーバ上で必要な要求元だけに対して行うように設定します。さらにサーバを別セグメントやファイアウォールの両側に設置してアクセス制御したり、｢隠れサーバ｣を立てるなど、DNSシステムを守るためのベスト･プラクティスに従ってネットワークを構築することが大切です。

今後の動向

IPAMアプライアンスの例 Infoblox-1000

以上のようにセキュリティ上の懸念が注目されているDNSに対して、より確実な対策を行おうとする動きも現れています。

IETFでは新しい標準規格DNSSECの策定を行っています。 ゾーン情報に電子署名を付与し、改ざんされていないことが証明できるようになります。 まだ実用には時間がかかりそうですが、DNS用のソフトウェアとしてよく使われているBINDのバージョン9にすでに実装されています。DNSを管理する製品も進化しています。3章の対策も考え方は難しくありませんが、複数のDNSサーバに間違いなく設定して運用していくのは簡単ではありません。特にひとりのエキスパートに頼って、構成は頭の中、設定はメモ書きかExcelに残っている程度という運営では、小規模な構成変更でもセキュリティ･ホールを生む危険性があります。DNSなどIPアドレスの管理（IPAM）を行う製品は、汎用データベースを利用したソフトウェアがほとんどで使い勝手や信頼性、コストなど多くの課題を抱えていましたが、アプライアンス製品の完成度が高くなってきてより手軽に利用できるようになりました(上の写真参照)。今後はDHCPまで管理できるIPAMアプライアンスの利用も広がりそうです。

マーケティング・グループ
松永　豊