新手のDNSファーミング攻撃、「.com」をリダイレクト

.comサイトへの閲覧要求を攻撃者のサイトに導く偽DNSサーバを利用した「DNSキャッシュポイズニング」攻撃が発見された。（IDG）

[IDG Japan]

　インターネットドメインの「.com」を標的とした新手の「ファーミング」攻撃が勃発、.comサイトを閲覧しようとした一部ユーザーが、未知の攻撃者の運営するWebサイトにリダイレクトされている。

　SANS InstituteのInternet Storm Center（ISC）は3月31日、この新しい攻撃に関する警告を発した。この攻撃では一部のDNSサーバが被害に遭い、これらサーバに.comサイトの接続要求を送ると、攻撃者の運営するWebサイトにつながってしまう。今回の攻撃は、ファーミング攻撃に関する報告が増大する中で起きた。統計によれば、3月上旬に起きた同様の攻撃では少なくとも1300のインターネットドメインが、不正侵入されたWebサーバにリダイレクトされていた。

　ISCではネットワーク運営者に対し、この攻撃に使われているIPアドレスとの間で送受信されるトラフィックを遮断してリダイレクトを食い止めるよう勧告している。

　今回の攻撃で使われているのは、DNSキャッシュポイズニングという手口だ。この攻撃では、攻撃者が制御しているDNSサーバを使って大量の情報をほかのDNSサーバに送りつける。これは、WebドメインのIPアドレスをリクエストされたDNSサーバがほかのWebドメインのアドレスを返すようにできてしまうというDNSの弱点を突いた攻撃。

　ポイズニングされたDNSサーバを使って自分のWeb閲覧要求を処理しているネットユーザーの場合、有名WebサイトのURLを入力すると、予想外あるいは悪質なWebページにリダイレクトされてしまう。

　今回の攻撃では悪質なDNSサーバが、.comのWebドメイン全体をつかさどるDNSサーバを装っていた。この偽情報に毒されたほかのDNSサーバが.comリクエストをすべてこの悪質サーバにリダイレクト、このサーバは.comリクエストすべてに対し、1〜2種類のIPアドレスを返していた。これらアドレスではある検索エンジンサイトと、「www.privacycash.com」のサイトの広告を表示していた。

　いずれのWebページとも4月1日早朝の段階でつながらなくなっている。