このところシステム管理者の立場としてずっと頭を悩ませている問題に、DNSキャッシュポイズニング脆弱性というのがありますが、本日新展開がありました。攻撃手法が既に公開されてしまった様です。
DNSはインターネットの根幹なので、これが異常な動作をする事があっては大変です。このキャッシュポイズニング問題の難しいところは、現在リリースされているパッチはポイズニング被害に遭う確率を大幅に下げる(=ゼロにする訳では無い)のであって、本質的な解決にはならないという点、つまり、DNSSECに全世界のリゾルバDNSが移行しない限り、真の安全は得られないというものらしい。
任意のドメインAのサイトにアクセスしてくるユーザが参照しているリゾルバDNSが汚染されていれば、ユーザはドメインAのフィッシングサイトに誘導されてしまう事が可能で、そこで発生する被害に対するクレームは、何も知らないドメインAのオーナーに向けられてしまうでしょう。これは、リゾルバDNSを管理している全世界のシステム管理者がきちんと取り組むべき問題で、気が遠くなりそうです。
発見者のDan Kaminsky氏のサイトには、同サイトにアクセスしてくる人が参照しているリゾルバDNSが、この脆弱性を持っていないかどうかを簡単にチェックするツールが設置されています。
これでチェックすると、私の自宅の接続プロバイダのDNSはまだ対応していない事がわかりました。
…という事で安全なリゾルバDNSを探してみると、OpenDNSというのに出会いました。先ほどのDan Kaminsky氏のサイトにもリンクがあります。OpenDNS CEOのDavid Ulevitch氏のブログエントリ"Why I Started OpenDNS"を読むと、インターネットをクリーンで安全なものにしたい、という気持ちが伝わってきます。オープンなリゾルバを提供して、安全なインターネットを作るという発想は無かったなぁ。
うまく行きそうな方法に見えるので、しばらく利用してみる事にします。
skip to main |
skip to sidebar
ソフトウェアアーキテクト/幸喜俊のブログです。Mac, iPhone等のソフト開発や、現在進行中のプロジェクトの事、日々のちょっとした事などを書いてます。
tkoki's FriendFeed
ラベル
ブログ アーカイブ
作業時間の記録
自己紹介
Copyright © 2008-2009 Takashi Koki All Rights Reserved.
0 件のコメント:
コメントを投稿