??月9日に発表された、DNSのキャッシュポイゾニングに関する脆弱性の問題は、予想を遥かに上回って深刻なものであったのだ。当初、私の認識では再帰的な要求(簡単に言えば、Yahoo!のDNSに対して、Googleってどこさ、と言うような問い合わせの事)をインターネットから受け付けない設定にしてさえあれば何も問題は無いのではないか、という程度の軽い脆弱性と捉えていたのだ。しかしながら、この問題をきちんと読み解くと、DNSというプロトコルそのものに起因する根本的な脆弱性であり、各DNSベンダーから提供されているパッチを適用したとしても、外部からの攻撃が成功する確率を低下させることしか出来ず、問題は何も解決していないのだ。
簡単に問題を説明すると、パソコンで例えば東京三菱UFJのサイトにアクセスする場合を考える。この場合、通常はプロバイダが提供しているDNSに対して、ブラウザからwww.bk.mufg.jpってIPアドレスは何なの?という問い合わせが行われ、「211.10.246.139」と「211.10.246.147」だよ、という答えが返されてくる。東京三菱UFJのサーバにアクセスするためには、名前ではなく、最終的にはIPアドレスが必要になるからだ。
名前がIPアドレスに変換できるのは、プロバイダのDNSがwww.bk.mufg.jpのIPアドレスを知っている訳ではなく、あくまでもwww.bk.mufg.jpのアドレスを誰が知っているのかを上位のDNSに問い合わせ、n0g.akamai.netというDNSが知っている事が分かった上で、最終的にn0g.akamai.netに対してwww.bk.mufg.jpのIPアドレスを問い合わせる、という手順で変換が行われている。
ここで、n0g.akamai.netからの応答を悪意の第三者が偽装して、www.mk.mufg.jpのアドレスは「210.188.238.115」だよ、などと返答されると、プロバイダのDNSは何の疑いもなく「210.188.238.115」をパソコンに返してしまうので、東京三菱UFJにアクセスしたつもりが、なぜかサイトを閲覧してみると実際にはアダルト系のサイトが表示されてしまう、という事態に陥ってしまう。一目瞭然で違うサイトであれば、間違いだと気付くだろうが、いかにも似せて作られたサイトであった場合、それを見破る手段は今のところはアドレスを逆引き(IPアドレスから名前に変換)してみて、アクセスしたいサイトとあっているかどうかを見るしか無いが、それすらも偽装されている可能性を否定できないのだ。(詳細はこちらまで)
ここまで根本的な問題は、恐らくインターネットが始まって以来のことで、世界中でどうやって対策をとるかを検討している状況である。なぜテレビで報道しないのかが、まったくもって不可解である。直ちにインターネットの利用を中止してください、くらい言ったら面白いのに・・・・
【ネット限定】名蔵元から生まれた、幻の日本酒!
0 件のコメント:
コメントを投稿