DNSキャッシュポイズニング攻撃に注意 - JPCERT/CC

  [2014/04/16]

JPCERT/CCは4月15日、DNSキャッシュポイズニング攻撃に関する注意喚起を発表した。

キャッシュDNSサーバーで問い合わせUDPポートのランダム化(ソースポートランダマイゼーション)が有効ではない場合に、キャッシュポイズニング攻撃が容易になる既知の脆弱性があるという。

この脆弱性を悪用したキャッシュポイズニング攻撃によって、第三者によってキャッシュDNSサーバーが偽のDNS情報で汚染される可能性がある。

日本レジストリサービス(JPRS)によると、JPRSが管理しているDNSサーバに対してソースポートランダマイゼーションが有効ではないDNSクエリがあることを確認しているという。また、この脆弱性を狙うアクセスが増加しているとISP事業者から報告を受けている。

該当するDNSサーバソフトウェアや製品を運用している管理者は、各ベンダからリリースされているパッチの適用や設定の変更などの対策を取るよう推奨している。

なお、対策を行なう場合には、「named.conf の設定」「ネットワーク機器におけるポートの再変換」「ファイアウォールの設定確認」の3点に注意が必要だという。

「named.conf の設定」では、BIND 9のDNSサーバーを使用している場合、named.confに「query-source port 53;」「query-source-v6 port 53;」のようなDNSクエリのソースポートを固定する設定が行われている可能性がある。このケースでは、バージョンアップ後に設定の変更を行わないとソースポートランダマイゼーションが有効にならない可能性がある。

「ネットワーク機器におけるポートの再変換」では、ファイアウォールやルータなど、ネットワーク機器のネットワークアドレス変換(NAT)機能によって、DNSサーバで行われるソースポートランダマイゼーションが無効になる可能性があるという。

また、「ファイアウォールの設定確認」では、対策後にDNSサーバからのクエリのソースポートがランダムになるため、ファイアウォールの設定などによっては、設定変更後のDNS サーバからの通信が制限される可能性がある。DNSサーバー設定を変更する場合には、事前にファイアウォールなどの設定を確認する必要がある。



IT製品 "比較/検討" 情報

転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

又吉直樹、髪型のせいで何度も職務質問「夜中に1人で歩いているとよく…」
[13:41 6/26] エンタメ
松本人志、小沢氏激怒の古市氏を擁護 - "逆鱗"と"イチかバチか"のお笑い論
[13:33 6/26] エンタメ
[明日のとと姉ちゃん]6月27日 第73回 常子、食糧確保に農村へ 第13週「常子、防空演習にいそしむ」
[13:00 6/26] エンタメ
和田アキ子、舛添氏「ムカつく」- 英キャメロン首相の潔さと比較
[12:55 6/26] エンタメ
【レポート】門脇麦、独特の存在感の秘密は"読解力"? 表現だけでなく、"読み込む力"が優れた女優 - 監督は語る
[12:30 6/26] エンタメ

求人情報