DNSの闇：偽の案内板と踏み台事件

どうも。さて、前回、DNSっていうのは世界で一番親切な案内所みたいなものだっていう話をしましたよね。 ネット上の住所なら何でも教えてくれる、本当に頼りになる存在です。 でもですよ、もし、そのいつも親切な案内所の人があなたにわざと、偽物の地図を渡してきたとしたらどうしますか？ 今日はその DNS が持っているちょっと怖い側面、その闇の部分にスポットライトを当てていきたいと思います。 さあ、早速その罠を覗いてみましょう。最初の脅威は、キャッシュポイズニング。 これ言葉通り、キャッシュに毒を盛るっていう意味なんですけど、まさに信頼していた地図が、あなたを全く違う危険な場所に導こうとする、そんな恐ろしい罠のことなんです。 具体的に何が起きるかというと、攻撃者が DNS サーバーに嘘の情報を送りつけて、あのサイトの住所は実はこっちですよってまんまと信じ込ませちゃうんですね。 で、一度サーバーがこの嘘を記憶、つまりキャッシュしてしまうと、もう大変。同じサイトの場所を聞いてきた人全員が、悪意ある偽サイトに飛ばされちゃうんです。 じゃあ、どうしてそんなことが可能になるんでしょう。これがですね、実はコンマ数秒を争うとんでもないスピード勝負なんです。 まず、あなたのパソコンが、サーバーに「このサイトの住所教えて」って聞きますよね。 サーバーは「はいよ」って、本物の答えを探しに行きます。このほんのわずかな瞬間に、攻撃者が割り込んできて、偽の答えを送りつけるんです。 電力、そして、もしこの偽の答えが本物よりもほんのちょっとでも早くサーバーに届いてしまったら、サーバーは悲しいかな、一番乗りで来た情報を信じ込んで、それを保存しちゃうんですよ。 その結果どうなるか。もう悲惨ですよね。そのサーバーを使っている人全員です。全員が本物のサイトに行こうとしているのに、全く気づかないうちに危険な偽サイトへと誘導されてしまう。これまさに集団で騙されている状態なわけです。 でも、もう安心してください。もちろん僕らも黙ってやられてるわけじゃありません。ちゃんと対策があります。 この偽物の案内人を見破るための、すごく強力な防御策が2つあるんで、今日はこれをしっかり押さえていきましょう。 まず1つ目。ランダム化です。昔の DNS って問い合わせをする時の合言葉みたいなものが結構予測しやすかったんです。 これだと攻撃者からしたら、もうカモですよね。そこで今は、その合言葉に当たる ID と通信に使う受付窓口に当たるポート番号。 この2つを問い合わせの度に毎回完全にランダム、つまりバラバラにするんです。こうすることで攻撃者が正しい組み合わせを当てるのはもうほとんど不可能になりました。 そして2つ目の防御策が、この DNSSEC です。これはですね、DNS の情報にデジタル署名っていう、まあ電子的なハンコみたいなものを押しておく技術です。 サーバーは受け取った情報に、まずこのハンコがあるかどうか、そしてそのハンコが本物かどうかをしっかりチェックするわけですね。 イメージとしては、昔の偉い人が出す手紙についていた封蝋、あの蝋で固めたスタンプみたいなものです。 あの封がちゃんと破られずに残っていれば、うん、この手紙は途中で誰にも見られてないし、中身も本物だなって確信できますよね。DNSSEC はまさにあの安心感をデジタルの世界で実現してくれるんです。 さて、ここから話はもう一段階深刻になります。今までは自分が騙されて被害者になる話でした。 でも次に紹介する攻撃は、あなたのサーバーが全く意図しないうちに加害者、つまり攻撃の踏み台にされてしまうという本当に恐ろしいシナリオです。 ちょっと皆さんに直接聞きたいんですけど、あなたのサーバー本当に大丈夫ですか？気づいていないだけで、誰かを攻撃するための片棒を担がせられているかもしれないんですよ。 この DNS アンプ攻撃は大きく3つのステップで成り立っています。まずステップ1。攻撃者はあなたのサーバーに本当にごくごく小さな質問を投げかけます。 でもその時にですね、返信先の住所を全く関係ない本当の攻撃ターゲット、つまり被害者の住所に書き換えておくんですよ。 次にステップ2です。あなたのサーバーは、まあ親切ですから、聞かれた質問に丁寧に答えようとします。 そして偽装された住所、つまり被害者のアドレスに対して、質問の何十倍、何百倍にもなるような巨大なデータ量の返信を送ってしまうんです。 そして最後のステップ3。被害者のサーバーからすると、たまったもんじゃないですよね。頼んでもいないものすごく巨大なデータの洪水が、いきなり押し寄せてくるわけです。 その結果、サーバーは処理能力の限界を超えてパンク、つまりダウンしてしまう。これが攻撃の全体像です。 この攻撃がなぜアンプ、つまり増幅攻撃って呼ばれるかというと、この図を見ると一目瞭然です。見てください。 攻撃者が送る質問はこんなにちっぽけ、なのにあなたのサーバーが善意で返す答えはこんなに巨大になる。この差を悪用して、ほんの小さな力で、とんでもなく大きなダメージを与える。 それがこの攻撃の本当にいやらしいところなんです。 じゃあ、自分のサーバーがこんな恐ろしい攻撃の踏み台にされないようにするには、一体どうすればいいんでしょうか。 幸いなことに、これは非常に効果的で、しかもすぐに実行できる対策があるんです。結論から言いますね。やるべきことはたった一つです。 オープンリゾルバーであることをやめる。もうこれにつきます。あなたのサーバーのちょっとおせっかいすぎる設定を見直す必要があるということなんです。 じゃあそのオープンリゾルバーって何なのか。これは自分の関係者だけじゃなく、インターネット上にいるどこの誰とも知らない人からの質問にも律儀に全部答えちゃう設定になっている DNS サーバーのことです。 この言ってみれば過剰な親切心を攻撃者は見逃さないんですね。 それでは今日の分析の要点を3つにまとめましょう。まず、偽の地図に騙されないために、ID とポートのランダム化を徹底すること。 次に、届いた情報が本物かどうか DNSSEC でしっかり検証すること。 そして最後に、自分が攻撃の武器にされないために、オープンリゾルバーの設定をやめること。この3つ、ぜひ覚えておいてください。 DNS はインターネットを支える本当に重要な技術です。でも一歩設定を間違えると、今日見てきたように深刻な脅威にもなり得るんです。 皆さんのデジタルな家の玄関のドアには、きっと頑丈な鍵がかかっているでしょう。でもちょっと待ってください。鍵のかけ忘れている窓は、本当に一つもありませんか？ 今回の話が皆さんのセキュリティをもう一度見直す良いきっかけになれば嬉しいです。