DNSキャッシュポイズニングの脆弱性が見つかり悪用コードが出回っている問題で、実際にISPのサーバが攻撃され、トラフィックが偽サイトに誘導される被害が発生した。脆弱性悪用コードのテスト・検証用ツール「Metasploit」の開発者であるBreakingPoint SystemsのH・D・ムーア氏が7月29日、Metasploitブログで報告した。
ムーア氏によると、キャッシュポイズニング攻撃を受けたのはAT&TのISPが運営するDNSキャッシュサーバ。同日朝、BreakingPointの従業員が自宅や社内からiGoogleにアクセスしようとすると、404エラーが表示される問題が発生。調べたところ、BreakingPointの社内DNSサーバが利用していたAT&T Internet ServicesのDNSキャッシュサーバが、www.google.comへのトラフィックを別のサイトに誘導していたことが分かった。
攻撃者は、AT&Tのこのサーバを狙って「www.google.com」のキャッシュエントリを書き換え、iframeで広告をロードさせるWebページに置き換えていた。テキサス州オースティンでAT&T Internet ServicesのDNSサーバを使っているユーザーがこの攻撃の影響を受けたが、リダイレクト先のページにマルウェアなどは仕掛けられておらず、単にクリックスルー広告の収入水増しを狙うものだったという。
ムーア氏は同ISPに連絡して問題の解消に当たったが、教訓として、自社のDNSサーバにパッチを当てるだけでなく、そのシステムが使っているISPのDNSサーバもパッチが当てられていることを確認しなければならないことが分かったと述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR