• 会員限定
  • 2015/02/25 掲載

インターネットを支える技術には脆弱性があることを忘れてはいけない

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
昨年は、Heartbleedに始まりShellshock、POODLEなど、枯れたはずのインターネットの基盤技術やツールに関する脆弱性が相次いで発見された。DNSによる名前解決の仕組みもこうした基盤技術のひとつだ。存在さえ意識せず「空気」のように使っていたインターネットの基盤を支えるプロトコルや実装に潜むリスクを再認識させてくれたわけだが、このようなリスクはインターネットが本質的に抱える問題でもある。それゆえ根本的な解決も難しいが改めて考えてみたい。
執筆:フリーランスライター 中尾真二

執筆:フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

POODLE等の問題の影でDNSにも問題が指摘されていた2014年

photo
インターネットの基盤技術に存在する脆弱性と、どう向き合うべきか?
 世間がShellShockやPOODLEなどで騒がしかった頃、セキュリティや通信業界の中では別の問題も持ち上がっていた。それは「DNS水責め」攻撃という問題だ。

 DNSサーバーへのDDoS攻撃に分類されるこの攻撃は、2014年1月から観測されはじめた。国内では2014年夏ごろに、DNS水責め攻撃と思われるトラフィックによって、複数のISPがDNS障害を被ったと見られている。

 DNS水責め攻撃の特徴とは何か。それは特定のサーバーではなく、DNSの権威サーバー標的にしている点だ。

 その他のDNS利用のDDoS攻撃は、DNSサーバーへの問い合わせを悪用して、標的サーバー(Webサイト)に対して、大量の応答パケットを送り付けてサーバーの負荷を重くするのが一般的だ。

 対してDNS水責め攻撃では、攻撃に対応する大量の応答パケットのパターンが確認されない。不審なパケットは確認できるのだが、直接の攻撃となるパケットが確認されないのだ。分析の結果、この攻撃の目的は、権威DNSサーバーの負荷を上げ、標的サーバーをアクセスしにくくしているのだろうと考えられている。

DNSの正規機能を利用することで対策しにくくする

関連記事
 なぜ、このような回りくどい攻撃をするのだろうか。DNS水責め攻撃では標的サーバーに直接大量のパケットが届かないので誰が、どのサーバーを攻撃しているのかが分かりにくい。DNSゾーンを管理する権威DNSサーバーの負荷が増えると、影響は標的サーバー以外にも及ぶ。このことも標的がどこなのかをわかりにくくしている。一般的なDDoS攻撃に比べて対策がとりにくいのだ。

 また、通常権威DNSサーバーに問い合わせするのは、ゾーン内に分散しているキャッシュDNSサーバーである。キャッシュDNSサーバーは、各端末からのドメイン名の問い合わせのうち正しいIPアドレス情報を知らない場合、それを権威サーバーに問い合わせる。そして、権威サーバーからIPアドレス情報もしくは正しい情報を持っている他のDNSサーバーを教えてもらう。

 このキャッシュDNSサーバーと権威サーバーのやりとりは、DNSの仕様からはまったく正しいものであり、悪意の有無は識別できない。キャッシュDNSサーバーからの問い合わせはフィルタリングなどの対策がとりにくいのだ。結果として、悪意のある問い合わせが含んでいることがわかっていても、攻撃を効果的に止めることができないことになる。

 このDNSへの攻撃が「水責め攻撃」といわれるのは、大量のパケットを直接送り付けるのではなく、名前解決のコストが高いとされる権威サーバーへの問い合わせを意図的に多く発生させる手法を、中国の拷問のひとつであえる水責め(額に水滴を垂らし続ける)になぞらえてのことだ。

【次ページ】柔軟で可用性が高いゆえの脆弱性を持つDNS

関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます