OpenSSLの致命的脆弱性「Heartbeat」問題に続き、DNSに関するもの凄い脆弱性「DNSキャッシュポイズニング手法」が発見されたとして話題となっています(長年放置されてきた DNS の恐るべき欠陥が明らかに、キャッシュポイズニングの開いたパンドラの箱、Geekなページ、slashdot)。
発見者は、中京大学工学部教授の鈴木常彦氏。危険性に関してつぎのように述べています。
結論
以上の手法を用いて、以下の重要なゾーンのキャッシュに毒入れが可能となる。
- co.jp などに毒が入る
- jp などに毒が入る / com などに毒が入る
- (root) に毒が入る
仕様(RFC2181など)、実装、運用をすべて見直す必要がある。
* 今回さらに危険な問題 (移転インジェクション攻撃)が見つかっている
いまいちよく理解していないのですが、下位のDNSサーバーが優先されてしまい、間違った情報が返されてしまうという問題のようです(間違っていたらごめんなさい)。偽のDNS応答が帰ってきてしまいうとフィッシングされたいほうだいになってしまうので、かなり困ったことになりそうですね。
専門家でないので、危険性の評価が難しいのですが、エンドユーザーからしたらできることはあんまりなさそうです。インターネットがほんとうに崩壊するのかどうか今後も要注目の情報だと思われます。
