ここのところDNSサーバの脆弱性が頻繁に報告されます。外部の不特定の相手にさらさなければいけないネットワークサービスでしかもUDPとなれば、攻撃者にとってこんな美味しいターゲットは他にないでしょう。昨日JPRSが緊急通報したBIND9その他複数のDNSソフトのデリゲーションがらみの脆弱性など、世界のDNSツリー全体が使いものにならなくなる可能性があります(でも、そうなると、攻撃してる人たちも不便だとおもいますが)。
JPRSの緊急通報といえば、さる11月15日に、愕然とするような緊急通報がありました。ドメイン名ハイジャックです。レジストリーを不正に書き換えて、登録されたDNSサーバを不正なものと入れ替えてしまうという、究極のフィッシングです。日本国内の業者経由でcomドメインを取得されている例は、jpドメインの取得が大変だったころに多かったですが、そのように日本のレジストラーが登録したcomドメインの情報をレジストラーに成りすまして書き換えた事例が9月~10月に発生したとのことです。具体的にはDNSサーバを不正なもののアドレスと入れ替えたのでしょう。今回はcomドメインに限られていたようですが、同じシステムを使用している以上、jpドメインにも同様のことがいつ発生してもおかしくない状況とのことです。
今までだと、怪しいメールが来たら、「メールのヘッダーを見て、送信ホストをチェックして….あ、本物だ」という具合チェックしてましたが、ドメイン名が盗まれるとなると、「WHOISでレジストラー調べて..」とやったとしても確認できません。
DNSサービスって、サーバサービスというよりネットワーク・インフラの一部として、空気のような存在で、一度DNSサーバを立てたら、ホストの追加以外(廃止も放置)では、放りっぱなしになりがちです。実はセキュリティの根幹もささえているサービスなので、DNSサーバの耐脆弱性管理は管理者の最重要課題のひとつになったようです。今年にはいっていったい何回DNSサーバのアップデートかけたか多すぎて覚えてません。しかも、すぐに対応できるようにまずBINDをソースからビルドして複数のサーバに配布しているので大変。ClamAVのように、DNSのテキスト文で最新ヴァージョンの告知をしてくれたら、自動アップデートのスクリプト作るんですが。あ、でも、それもドメインをハイジャックされたらだめかぁ。