フィッシングやID盗難に悪用されうる脆弱性の中から、最近話題になっている、1) DNSキャッシュポイズニングの脆弱性、2) 無線LANの暗号に関する脆弱性、3) クリックジャッキング攻撃について、ご紹介したいと思います。
1.はじめに
今回は、フィッシングやID盗難に悪用されうる脆弱性の中から、最近話題になっている、1) DNSキャッシュポイズニングの脆弱性、2) 無線LANの暗号に関する脆弱性、3) クリックジャッキング攻撃について、ご紹介したいと思います。
2.DNSキャッシュポイズニングの脆弱性
DNSキャッシュポイズニングの脆弱性は、10年以上前から知られていたものですが、攻撃の成功率が高まる新しい攻撃手法が発見されたことから、今年7月以降話題になりました [1]。
Infoblox社が11月10日に行った発表[2]によれば、インターネット上のDNSサーバの25%に未だ対策が行われていないようです。
2.1 DNSキャッシュポイズニングとは?
DNSキャッシュポイズニングは、DNSサーバに偽の情報を覚えこませる攻撃手法です。DNSサーバは、ドメイン名とIPアドレスを紐付ける役割を果たすため、攻撃が成功すると、DNSサーバは覚えた偽の情報を提供してしまうことになります。このため、ユーザは正しいドメイン名のWebサイトに接続しているつもりでも、提供された偽の情報により、攻撃者が用意したWebサイトに誘導され、フィッシング詐欺などの被害に遭う可能性があります。
2.2 対策方法
DNSサーバにおいては、再帰問合わせの機能が有効化されている場合に、対策が必要となります。再帰問合わせの有効/無効を確認するツールが提供されていますので、それを使って確認しましょう[3]。
再帰問合わせが有効である場合は、各ベンダから提供されている対策版を適用しましょう。ただし、対策版は、攻撃の成功率を下げるものであり、根本的な対策ではないことに留意しておきましょう。偽の情報に騙されない為の対策としては、暗号技術を用いて正規の情報であることを確認する「DNSSEC」の導入が挙げられ、米国では「.gov」ドメインへの導入を進めているようです。また、再帰問合わせが不要である場合は、無効化することが推奨されています[4]。
DNSクライアントにおいても、DNSサーバと同様に偽の情報を覚えこまされる可能性があります。対策版は、OSに含まれていますので、JVN iPedia[5]などの情報を参考に、お使いのOSのアップデート情報を確認してください。
3.無線LANの暗号に関する脆弱性
無線LANの暗号化方式であるWEPを解読する新しい手法が、今年10月に報告されました。また、11月には、無線LANの暗号化プロトコルであるWPA-TKIPの脆弱性が報告されました。
3.1 WEP、WPAの脆弱性とは?
WEPとは、無線LANの暗号化技術です。2001年頃からWEPには安全性に問題があると言われていますが、今年10月に、「WEPを10秒で解読することに成功した」という研究成果が、神戸大と広島大の研究グループによって報告されました[6]。
WPAとは、WEPの弱点を補強し、セキュリティ強度を向上した無線LANの暗号化方式です。 WPAでは、暗号鍵を一定時間毎に自動的に更新する「TKIP」(Temporal Key Integrity Protocol)と呼ばれる暗号化プロトコルを採用していますが、今年11月に、TKIPにセキュリティ上の問題があることが報告されました[7]。
3.2 対策方法
対策としては、暗号化方式として、WEP及びWPAを使用しない、すなわち、WPA2-AESを使用することです。ただし、一部の古い機器では、WPA2に対応していないものもあるようで、その場合は、新しい機器に交換する必要があります。
4.クリックジャッキング攻撃
「クリックジャッキング攻撃」とは、ユーザが意図していないボタンをクリックさせる、いわゆる「クリック乗っ取り」の攻撃です。アドビシステムズは、10月15日にこの攻撃に対処した「Flash Player 10」を公開しています。
4.1 クリックジャッキング攻撃とは?
「クリックジャッキング攻撃」は、ユーザがクリックの動作を行った際に、実際にはユーザの意図とは異なるボタンをクリックさせてしまうものです。例えば、正規のリンクをクリックしたつもりが、アプリケーションの設定変更やオンラインバンキングの「送金」ボタンを押したことになるといったリスクがあります。
攻撃の仕掛けとしては、マウスポインタの先が常にボタンとなるようにサイズ、位置を調整し、そのフレームを最上面にします。さらに、スタイル属性を使用して、そのレイヤを透明にすることで、ユーザが気付かないようにクリックを横取りします[8]。
主要なブラウザやブラウザのプラグイン(Flash Player等)などが影響を受けるとされています。なお、JavaScriptを使用しなくても攻撃を仕掛けることができるため、JavaScriptを無効化するだけでは、防御することが出来できません。
4.2 対策方法
Flash Playerにおける対策としては、Flash Player 10にアップデートする、NoScript(Firefoxのプラグイン)[9]のClearClick対応版を使用する、Flashをブロックする、プラグインを無効化するなどが挙げられています[10]。
5.まとめ
今回は、フィッシングやID盗難に悪用されうる脆弱性の中から、最近話題になっている、1) DNSキャッシュポイズニングの脆弱性、2) 無線LANの暗号に関する脆弱性、3) クリックジャッキング攻撃の脆弱性についてご紹介しました。
今後も、フィッシングやID盗難に悪用されうる新たな脆弱性が発見されることが予想されますので、定期的に脆弱性情報の収集を行い、修正プログラムを適用する運用を心掛けましょう。
6.参考文献
[1] DNSキャッシュポイズニング攻撃と脆弱性への対応について(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/dns.html
[2] Worldwide Survey of DNS Servers Reveals Many Systems Vulnerable to Attacks(Infoblox Inc.)
http://www.infoblox.com/news/release.cfm?ID=132 (英語)
[3] DNSサーバにおけるキャッシュポイズニング対策(HIRT)
http://www.hitachi.co.jp/hirt/publications/hirt-pub08005/index.html
[4] DNS の再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について(警察庁)
http://www.cyberpolice.go.jp/server/rdenv/pdf/20060711DNS-DDoS.pdf
[5] JVNDB-2008-001495 複数の DNS 実装にキャッシュポイズニングの脆弱性(JVN)
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html
[6] CSS2008において,WEPWEPを一瞬にして解読する方法を提案しました(神戸大大学院 森井教授)
http://srv.prof-morii.net/~morii/#CSS20081009
[7] 無線LAN暗号のWPA、部分クラッキングに成功(ITmedia)
http://www.itmedia.co.jp/news/articles/0811/07/news037.html
[8] クリックジャッキング攻撃(日経ITpro)
http://itpro.nikkeibp.co.jp/article/COLUMN/20081105/318470/
[9] NoScript(Mozilla)
https://addons.mozilla.org/ja/firefox/addon/722
[10] Clickjacking(Jeremiah Grossman)
http://conference.hackinthebox.org/hitbsecconf2008kl/materials/KEYNOTE%201%20-%20Jeremiah%20Grossman%20-%20The%20Art%20of%20Click-Jacking.pdf (英語)