- ベストアンサー
ドメイン名を偽ってDNSに登録
現在ネットワークについて勉強しています. ある本を読んでいると, 「ドメイン名を偽って, DNS サーバに登録する攻撃方法もあります・・・」 と書いてあったので, 調べてみたのですが, スパム以外でそれに該当するものが見当たりません。 他に何かあるのでしょうか?
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
umasikajiroさんの回答で十分な気もしますが、攻撃する側からの手口も書いてみます。(書いたからといって容易にできることでもないですので。) 「DNSサーバに登録する」というところがミソなのですけれど、DNSサーバは複数の組織で階層的に管理されているので攻撃者が一人でなんとかするのは難しいという側面があります。 一例としては、時折WEBサーバに侵入されて改ざんされたなどというニュースがありますが、そればWEBサーバでなくてDNSサーバだとすればこの攻撃が可能です。DNSの設定を書き換えて完全に自分のサーバに誘導するようにすると本来のサーバへのアクセスが皆無になって気づかれるかもしれないのでDNSラウンドロビンの設定をするかもしれません。 別の例としては、クライアント側やその周辺のブロードバンドルータに侵入してクライアントが参照するDNSを自分のダミーDNSサーバに向けます。改ざんに成功した特定のクライアントだけが攻撃されますが、ルータなどのDNSフォワードしているサーバを改ざんできればその配下のクライアント全てを攻撃できますし、ウィルスなどによって感染で攻撃対象を増やすこともできます。 防衛手段としてはumasikajiroさんの書かれたことのほかに(要するに同じことですけど)SSLなどの証明書をCAに認証してもらうというのもあります。簡単に言えば、httpsなどでアクセスするとSSL接続する際に証明書の交換が行われ、それが正当かどうかをCAに認証してもらうのでドメイン名、IPアドレスが正規の登録されたものであるかどうかを確認できるということです。https(SSL)でアクセスするということは単に通信路を暗号化するというだけでなく、接続先が正当かどうかを確認することにもつながります。(きちんとCAにサインしてもらった証明書を使う場合。)
その他の回答 (3)
- umasikajiro
- ベストアンサー率67% (545/803)
#3さん <なるほど http://www.geocities.jp/fssreport/phishing/article007/index.html にも#3さんの書かれた方法が載っていますね で、それを踏まえて一般の方でも出来る対策として 1.上記を参考にして証明書の確認できないサイトでは個人情報を入力しない 2.総合対策の出来るセキュリティSOFTは必ず入れる 3.ルーターのパスワードは初期値のまま放置せず 最低でも8文字以上のランダムなものにして時々変更する 以上までは一般の人でも出来ると思います。 あとPCのネットワーク設定で ISPのDNSサーバーを直接指定したほうがいいかもしれません それから勉強中とのことでしたら 「DNSSEC」についても調べると良いかもしれません
お礼
一般ライトユーザはあまりネットの”怖さ”を知らないため、そもそも恐怖を感じないようです。(私の姉ももったいないと言って、セキュリティソフト更新をしようとしません) それが世の中の現実で、それこそテレビで連日トップで特集でもされない限り、興味を持ちません。 そういった方々にも安全に使えるようネットワーク自体の安全性の向上が大切ですね。かなり厳しいですが。 知らなかったので、 DNSSEC について調べました。 SSL に近いような感じですね。間違っていたらごめんなさい。 回答ありがとうございました。
- junkUser
- ベストアンサー率56% (218/384)
たとえば、ウイルス対策サイトの偽アドレスを回答して、偽のパターンファイルをダウンロードさせ、ウイルス対策ソフトを無力化させたりします。
お礼
それをやられたら完全に無防備になってしまいますね。 回答ありがとうございます。
- umasikajiro
- ベストアンサー率67% (545/803)
ファーミング詐欺の事だろうと思いますが フィッシング詐欺よりも巧妙な手口です。 フィッシング詐欺はURLを良く見るとおかしいことに気が付きますが ファーミング詐欺はドメイン名に偽のIPアドレスを摩り替えてしまうため URLは本物とまったく同じになります。 防御手段としてはセキュリティSOFTに あらかじめ銀行やカード会社のIPアドレスをデータベースとして登録し それと異なるIPアドレスだった場合に警告を出す 程度の方法しか無いだろうと思います。 (当然データベースに存在しないドメインだと 真偽の判断が出来ません) http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1%E3%83%BC%E3%83%9F%E3%83%B3%E3%82%B0
お礼
ファーミング詐欺ですか。知りませんでした。 ネットバンキングは便利ですが、やはり安易に使うと危険ですね。 回答ありがとうございます。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_4_thumbnail_img_sm.png)
お礼
DNSには様々な情報が管理されている分、やはり狙われやすく、保守はたいへん重要ですね。また保守側としてはやりがいを感じられるかもしれませんね。(プレッシャーにもなりますが) また、ユーザ側もSSLの意味、仕組み、利用方法を知っておかなければいけませんね。 回答ありがとうございます。