Black Hat Japan 2007 Briefings 潜入レポート今そこにある現実的な脅威「DNS RebindingとソケットAPI」金床氏

10月25日、26日の2日間、新宿で情報セキュリティの専門家が集う国際会議「Black Hat Japan 2007 Briefings」が開催された。Scanでは同会議に特派記者を派遣し、その模様を報告する。

─

●Web2.0の影の側面

さまざまなWebコンテンツの操作性や見た目の華やかさが、ここ数年でかなり向上してきた。Web2.0というキーワードも相まってか、その普及速度は加速するばかりである。これを裏から支えているのが、JavaScriptやFlash,Javaアプレットといった技術だ。

これらの技術はネットワークアクセスの機能も備えていて、それが操作性の向上などに一役買っている。しかし、ネットワークにアクセスできる機能というのは、攻撃者に狙われる対象となってしまうのが常だ。そこでネットワークへのアクセスの際に、その接続先を制限するという手法が用いられる。

これらの技術の多くは「ダウンロード元のページと同じホスト名を持つコンピュータに対しては接続を許可する」というセキュリティ上の制限を持つ。この機能が有効である限りは、多くの攻撃を防ぐことができる。

今回、海外のスピーカー陣が多くを占める中で数少ない日本人スピーカーである金床氏は、攻撃者の用意したDNSサーバーと、悪意のあるコードが連携することでこの制限を破ることができてしまうため、イントラネット内のファイル共有ネットワークへのアクセスができてしまうなど、Webブラウザを踏み台としてあらゆるTCPレベルのアクセスを許してしまうため、深刻な攻撃が可能になってしまうと指摘する。

●DNS Rebinding とは？

DNS Rebindingというのは、攻撃手法の1つでこのDNS（Domain Name System）による名前解決を利用したものだ。DNSという広く使われているものを利用しているため、WindowsやLinuxなどによらずさまざまなOSが攻撃の影響を受けることになる。

インターネットを利用するアプリケーションの多くは、DNSを利用することでホスト名・ドメイン名とIPアドレスの対応付けを調べる。たとえば、”www.example.com”をDNSに問い合わせると、”208.77.188.166”というIPアドレスと答えてくれるといった具合だ。

IPアドレスよりホスト名やドメイン名の方が人間は覚えやすい。このため、インターネット上を使う多くのアプリケーションが、DNSによる名前解決を利用している。もちろん、Webブラウザやそこで動作するFlashやJavaScriptなどがネットワークにアクセスする際にも利用されている。

この攻撃は、まず被害者（もしくは踏み台）となるユーザーが、攻撃者の仕掛けた罠のページに訪れることで開始される。これは受動的攻撃と呼ばれ、Webアプリケーションに対する攻撃として有名なXSSやCSRFなど同様の攻撃の発端である。

1．攻撃者が”hackr.jp”というドメインを所有していてDNSも管理しているとする。攻撃者が”www.hackr.jp”というドメインで罠となるWebサイトを稼働させ、IPアドレスとして”60.32.201.106”を割り当てる。

2．このDNSレコードのTTL値を非常に短い値（たとえば、8秒）にする。TTLが短い時間の場合、このDNSレコードを問い合わせたクライアントは、その時間が経過した以降に再び名前解決を行わなければならなくなる。

3．被害者となるユーザーがWebブラウザで罠ページ”www.hackr.jp”を開く。

4．被害者のコンピュータは”www.hackr.jp”の名前解決を行い、”60.32.201.106”を引いてくる。

5．設定された短い時間（たとえば、8秒）が経過すると、TTLが切れる。

6．攻撃者はこの時間の間にDNSサーバーの設定を変更し、”www.hackr.jp”のIPアドレスを”127.0.0.1”に設定しなおす…

　　　　　　　　　　　　【取材・執筆：株式会社トライコーダ上野宣】

──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw