DNS 関 連 ホットトピックス 2014 年 2 月 1 日 IPv6 Summit in SAPPORO 2014 株 式 会 社 日 本 レジストリサービス(JPRS) 森 下 泰 宏 @OrangeMorishita 事 後 資 料 ( 最 終 更 新 :2014 年 2 月 2 日 ) Copyright 2014 株 式 会 社 日 本 レジストリサービス 1
講 師 自 己 紹 介 氏 名 : 森 下 泰 宏 (もりした やすひろ) 勤 務 先 : 株 式 会 社 日 本 レジストリサービス 肩 書 : 技 術 広 報 担 当 最 近 の 願 いごと: 平 穏 無 事 な7 月 7 月 には 毎 年 必 ずDNSに 関 する 何 かが 2008 年 カミンスキー 型 攻 撃 手 法 公 開 2009 年 BINDコロリ (パケット 一 発 でnamed 死 亡 回 避 手 段 なし) 2010 年 ルートゾーン 署 名 直 後 BIND 9のDNSSEC 実 装 に 致 命 的 なバグ 発 覚 (バリデーターが 権 威 DNSサーバーに 全 力 で 問 い 合 わせを 送 り 続 ける) 2011 年 BINDコロリ パート2(パケット 一 発 で( 以 下 同 文 )) 2012 年 BIND 9とNSD 3にそれぞれ2 件 ずつ Androidのリゾルバーに キャッシュポイズニング 可 能 な 脆 弱 性 発 覚 ( 対 象 : 約 3 億 台 ) 2013 年 7 月 最 終 週 の 土 曜 日 早 朝 にBIND 9の 致 命 的 なゼロデイ 脆 弱 性 発 表 Copyright 2014 株 式 会 社 日 本 レジストリサービス 2
本 日 の 内 容 1. DNS Response Rate Limiting (DNS RRL)の 概 要 と 現 状 2. 第 一 フラグメント 便 乗 攻 撃 (1 st -fragment Piggybacking Attacks)の 概 要 と 対 策 3. レジストリ レジストラへの 攻 撃 の 現 状 Copyright 2014 株 式 会 社 日 本 レジストリサービス 3
1. DNS Response Rate Limiting (DNS RRL)の 概 要 と 現 状 Copyright 2014 株 式 会 社 日 本 レジストリサービス 4
Rate Limiting(レート 制 限 ) 単 位 あたりにおける 何 らかの 数 を 制 限 Web 技 術 の 分 野 では 従 来 から 一 般 的 単 位 時 間 あたりのAPI 実 行 可 能 回 数 単 位 時 間 あたりのダウンロード 可 能 回 数 1IPアドレスあたりの 同 時 接 続 可 能 数 など 何 らかの 資 源 (CPU ネットワークなど)を 使 われすぎないようにするためによく 用 いられる Copyright 2014 株 式 会 社 日 本 レジストリサービス 5
DNS Response Rate Limiting(DNS RRL) DNSにおけるレート 制 限 技 術 の 一 つ DNSの 応 答 レートを 制 限 単 位 時 間 あたりの 応 答 回 数 DNSリフレクター 攻 撃 対 策 の 一 つとして 注 目 導 入 され 始 めている Copyright 2014 株 式 会 社 日 本 レジストリサービス 6
おさらい:DNSリフレクター 攻 撃 別 名 :DNSリフレクション 攻 撃 DNS Amp 攻 撃 JPRSではRFC 5358の 表 記 に 従 い 2013 年 4 月 から DNSリフレクター 攻 撃 と 呼 称 RFC 5358: Preventing Use of Recursive Nameservers in Reflector Attacks <http://www.ietf.org/rfc/rfc5358.txt> DNSの 持 つ 特 性 を 利 用 した 攻 撃 手 法 攻 撃 者 が 送 信 元 (= 応 答 先 )を 偽 装 した 問 い 合 わせを DNSサーバーに 送 信 し DNS 応 答 を 攻 撃 目 標 に 送 り 付 けるように 仕 向 ける 攻 撃 手 法 Copyright 2014 株 式 会 社 日 本 レジストリサービス 7
DNSリフレクター 攻 撃 の 例 ( 大 量 の 偽 装 問 い 合 わせによるDDoS) 攻 撃 者 指 令 を 送 信 ( 遠 隔 操 作 ) 送 信 元 を 偽 装 したDNS 問 い 合 わせを 大 量 に 送 信 オープンリゾルバー Botnet( 遠 隔 操 作 可 能 な 大 量 のPC) オープンリゾルバー 攻 撃 目 標 オープンリゾルバー 大 量 の 応 答 によりアクセス 不 能 の 状 態 に 陥 る Copyright 2014 株 式 会 社 日 本 レジストリサービス 8
おさらい:オープンリゾルバー インターネット 上 のどこからの 再 帰 検 索 要 求 で あっても 受 け 付 け 処 理 してしまうDNSサーバー 再 帰 検 索 要 求 :DNSクライアントからの 名 前 解 決 要 求 DDoS 攻 撃 の 踏 み 台 として 悪 用 2013 年 3 月 には300Gbpsを 超 える 攻 撃 が 発 生 Spamhaus/CloudFlareを 狙 った 攻 撃 事 例 インターネット 上 に 多 数 存 在 約 2,700 万 台 2014 年 1 月 現 在 :openresolverproject.org 調 べ Copyright 2014 株 式 会 社 日 本 レジストリサービス 9
おさらい:オープンリゾルバー 対 策 オープンリゾルバーの 出 自 に 注 目 適 切 なアクセスコントロールがされていない キャッシュDNSサーバー 適 切 な 機 能 制 限 がされていない 権 威 DNSサーバー WAN 側 からの 問 い 合 わせも 処 理 してしまうホームルーター 出 自 に 応 じた 形 で 不 適 切 な 状 態 の 解 消 キャッシュ 権 威 DNSサーバーを 機 能 分 離 キャッシュDNSサーバーにおける 適 切 なアクセスコントロール 権 威 DNSサーバーにおける 適 切 な 機 能 制 限 ホームルーターのファームウェアやハードウェアの 更 新 本 来 の 王 道 は BCP 38/BCP 84の 世 界 中 での 適 用 DNS 以 外 のリフレクター 攻 撃 にも 有 効 Copyright 2014 株 式 会 社 日 本 レジストリサービス 10
もう 一 つのDNSリフレクター 攻 撃 最 近 オープンリゾルバーを 用 いたものに 加 え 権 威 DNSサーバーを 用 いたDNSリフレクター 攻 撃 も 観 測 され 始 めている 2012 年 頃 から TLDの 権 威 DNSサーバーなどを 利 用 したDNSリフレクター 攻 撃 の 事 例 が 報 告 され 始 めた 権 威 DNSサーバーの 場 合 不 適 切 な 設 定 の DNSサーバーでなくても DNSリフレクター 攻 撃 に 利 用 可 能 オープンリゾルバーの 場 合 と 異 なる Copyright 2014 株 式 会 社 日 本 レジストリサービス 11
権 威 DNSサーバーを 用 いた DNSリフレクター 攻 撃 (1/2) 権 威 DNSサーバーのDNS 応 答 を リフレクター 攻 撃 に 直 接 利 用 攻 撃 の 原 理 はオープンリゾルバーの 場 合 と 同 様 Botnetから 権 威 DNSサーバーに 送 信 元 を 攻 撃 目 標 に 詐 称 した DNS 問 い 合 わせを 大 量 送 信 攻 撃 元 (Botnet) 権 威 DNSサーバー 攻 撃 目 標 Copyright 2014 株 式 会 社 日 本 レジストリサービス 12
権 威 DNSサーバーを 用 いた DNSリフレクター 攻 撃 (2/2) DNSの 応 答 サイズ 自 身 が 大 きくなる 傾 向 にある DNSSEC IPv6 SPF/DKIM DANE(RFC 6698)へ の 対 応 など ルートサーバーやTLDの 権 威 DNSサーバーは IP Anycast 広 帯 域 回 線 複 数 のトランジットなど の 施 策 により 処 理 能 力 の 強 化 が 図 られている つまり 強 力 なリフレクターとなりうる 何 らかの 有 効 な 対 策 を 実 施 する 必 要 がある 権 威 DNSサーバーの 特 性 に 応 じた 対 策 が 必 要 Copyright 2014 株 式 会 社 日 本 レジストリサービス 13
権 威 DNSサーバーの 特 性 サービス 対 象 がインターネット 全 体 キャッシュDNSサーバーの 場 合 組 織 /ISP 内 のみ アクセス 制 限 による 事 前 対 策 は 不 可 能 キャッシュDNSサーバーではアクセス 制 限 が 可 能 キャッシュDNSサーバー(オープンリゾルバー)の 場 合 とは 別 の 対 策 方 法 を 考 慮 実 施 する 必 要 が ある DNS Response Rate Limiting (DNS RRL)は そのための 有 力 な 対 策 の 一 つ Copyright 2014 株 式 会 社 日 本 レジストリサービス 14
DNS RRLの 仕 組 み(1/3) 攻 撃 目 標 (となるIPアドレス)が 一 定 のネットワー ク(IPアドレスブロック) 内 に 収 まっている 点 に 着 目 攻 撃 目 標 が 一 定 の ネットワーク 内 に 収 まっている 攻 撃 元 (Botnet) 権 威 DNSサーバー 攻 撃 目 標 Copyright 2014 株 式 会 社 日 本 レジストリサービス 15
DNS RRLの 仕 組 み(2/3) 事 前 に 決 めたルールにより 応 答 レートを 制 限 制 限 の 方 法 : あるIPアドレスブロック 宛 の 単 位 時 間 あたりの 同 一 名 に 対 する 同 一 ステータスの 応 答 が 所 定 の 頻 度 を 超 えた 場 合 に 所 定 の 制 限 を 発 動 させる 応 答 の 破 棄 切 り 詰 め(TC=1)など( 詳 細 は 後 述 ) 応 答 頻 度 をチェックし 一 定 の 割 合 を 超 えたら 応 答 を 制 限 この 位 なら 大 丈 夫!! 権 威 DNSサーバー 攻 撃 目 標 Copyright 2014 株 式 会 社 日 本 レジストリサービス 16
DNS RRLの 仕 組 み(3/3) 考 え 方 : 短 時 間 のうちに 同 じ 宛 先 に 同 じ 応 答 を 何 度 も 返 すのはおかしい(はず) 応 答 を 返 すのを 制 限 DNS 問 い 合 わせは 制 限 しない 権 威 DNSサーバーの 特 性 に 対 応 サービス 対 象 がインターネット 全 体 同 じ 応 答 と 判 断 する 部 分 を 工 夫 ( 不 在 応 答 対 策 ) サブドメインの 不 在 応 答 (NXDOMAIN)は 同 じ 応 答 と 判 定 例 :jpゾーンを 管 理 するJP DNSの 場 合 example1.jp example2.jp example3.jpのaレコードに 対 する 応 答 (いずれもNXDOMAIN)を 同 じ 応 答 と 判 定 名 前 を 変 えながら 攻 撃 することを(ある 程 度 ) 検 知 可 能 Copyright 2014 株 式 会 社 日 本 レジストリサービス 17
False Positive 発 生 の 抑 制 (1/3) False Positive( 偽 陽 性 ) 本 来 検 出 すべきでない 事 象 を 誤 検 出 してしまうこと DNS RRLのような 検 出 型 の 攻 撃 対 策 では False Positiveの 発 生 をどのように 抑 制 するかが ポイントとなる DNS RRLでは DNSプロトコルの 仕 組 みを 利 用 することでこの 問 題 への 対 応 を 図 っている TCPフォールバックの 仕 組 みを 利 用 Copyright 2014 株 式 会 社 日 本 レジストリサービス 18
False Positive 発 生 の 抑 制 (2/3) 制 限 の 際 応 答 の 破 棄 に 替 え DNS 応 答 の 切 り 詰 めが 発 生 (TC=1)した 旨 の 応 答 を 返 す この 動 作 をslipと 呼 ぶ この 応 答 を 正 当 なキャッシュDNSサーバーに 受 信 させることでTCPでの 問 い 合 わせ 再 送 を 促 し 正 常 に 名 前 解 決 させることを 期 待 している 1UDPで 問 い 合 わせ TC=1を 応 答 2TCPで 再 送 応 答 キャッシュDNSサーバー 権 威 DNSサーバー Copyright 2014 株 式 会 社 日 本 レジストリサービス 19
False Positive 発 生 の 抑 制 (3/3) slip 設 定 では サーバーの 処 理 コスト ネットワークの 負 荷 対 False Positiveの 観 点 でのトレードオフを 考 察 する 必 要 がある 毎 回 slipを 返 すのは 処 理 コスト ネットワーク 負 荷 の 点 で 不 利 BIND 9のDNS RRLのデフォルトでは 該 当 する 応 答 2 回 に1 回 の 割 合 でslip 応 答 を 返 す(slip:1/2) slipの 比 率 ( 分 母 を 指 定 )は 設 定 で 変 更 可 能 応 答 の 破 棄 TC=1(slip) 応 答 サーバーの 処 理 コスト 低 高 ネットワークの 負 荷 低 中 対 False Positive 対 応 不 可 対 応 可 Copyright 2014 株 式 会 社 日 本 レジストリサービス 20
DNS RRLが 効 果 を 発 揮 する 状 況 権 威 DNSサーバーにおいて 特 に 効 果 を 発 揮 問 い 合 わせ 元 はキャッシュDNSサーバーである(はず) キャッシュDNSサーバーにはキャッシュがある(はず) TTL 時 間 内 は 同 内 容 の 問 い 合 わせを 再 送 信 しない(はず) キャッシュDNSサーバーへのDNS RRLの 安 易 な 導 入 は サービスの 提 供 に 悪 影 響 を 及 ぼす 危 険 性 あり 導 入 できないわけではない Google Public DNSでは 独 自 に 実 装 したRRLを 導 入 している とのこと <https://developers.google.com/speed/publicdns/docs/security?hl=ja#rate_limit> Copyright 2014 株 式 会 社 日 本 レジストリサービス 21
DNS RRLの 実 装 状 況 権 威 DNSサーバーを 中 心 に 実 装 が 進 んでいる BIND 9 9.9.4 以 降 においてRRLを 標 準 実 装 デフォルトでは 無 効 コンパイル 時 に--enable-rrlを 指 定 9.10 系 では 指 定 不 要 になる 予 定 それ 以 前 のバージョンに 対 するパッチも 提 供 NSD 3.2.15 以 降 においてRRLを 標 準 実 装 デフォルトでは 無 効 コンパイル 時 に--enable-ratelimitを 指 定 Knot DNS 1.2.0-rc3 以 降 においてRRLを 標 準 実 装 Copyright 2014 株 式 会 社 日 本 レジストリサービス 22
DNS RRLの 導 入 状 況 JP DNSサーバー 2013 年 11 月 以 降 DNS RRLを 導 入 済 ただし セキュリティ 上 の 理 由 により 具 体 的 な 設 定 内 容 ( 設 定 値 など)は 非 公 開 JP DNSサーバーのほか いくつかの 著 名 な 権 威 DNSサーバーにおいて 導 入 済 かつ 効 果 を 発 揮 した 旨 の 報 告 あり Copyright 2014 株 式 会 社 日 本 レジストリサービス 23
DNS RRLの 注 意 点 実 運 用 する 際 には 運 用 ノウハウの 蓄 積 や 各 パ ラメーターのチューニング リファインが 必 要 ドキュメントにもその 旨 の 記 述 あり ログオンリーモードで 動 作 させ 各 サーバーの 状 況 に 合 わせてパラメーターをチューニングすることが 有 効 JP DNSサーバーにおいても 検 討 評 価 を 事 前 実 施 いたちごっこ(cat-and-mouse game) の 技 術 攻 撃 者 がより 洗 練 された 形 (DNS RRLをかいくぐる) に 攻 撃 方 法 を 改 良 してくることが 予 想 される Copyright 2014 株 式 会 社 日 本 レジストリサービス 24
まとめ:DNS RRL 権 威 DNSサーバーにおいて 特 に 効 果 を 発 揮 キャッシュDNSサーバーへの 安 易 な 導 入 は サービスの 提 供 に 悪 影 響 を 及 ぼす 危 険 性 あり 有 力 かつ 巧 妙 な 仕 組 みであると 言 える DNSの 動 作 の 細 部 に 至 るまで 緻 密 に 考 慮 されている ただし 実 運 用 にはノウハウの 蓄 積 や 状 況 に 応 じた 各 パラメーターのチューニング リファインが 必 要 枯 れている 技 術 であるとは(まだ) 言 えない いたちごっこ の 技 術 であり RRLを 回 避 する 形 での 攻 撃 方 法 の 洗 練 が 予 想 される Copyright 2014 株 式 会 社 日 本 レジストリサービス 25
参 考 リンク(DNS RRL 関 連 技 術 資 料 ) JPRSの 技 術 解 説 DNS Reflector Attacks(DNSリフレクター 攻 撃 ) について <http://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html> DNS RRLの 技 術 仕 様 DNS Response Rate Limiting (DNS RRL) <http://ss.vix.su/~vixie/isc-tn-2012-1.txt> W. Matthijs Mekking 氏 (NLnet Labs)の 発 表 資 料 DNS Rate Limiting <http://www.guug.de/veranstaltungen/ffg2013/talks/dns_rate_limiti ng Matthijs_Mekking.pdf> 山 口 崇 徳 氏 (IIJ)の 発 表 資 料 DNS Response Rate Limiting (DNS RRL) <http://www.dnsops.jp/event/20130529/dnssec2013springforumyamaguchi-1.pdf> Copyright 2014 株 式 会 社 日 本 レジストリサービス 26
2. 第 一 フラグメント 便 乗 攻 撃 (1 st -fragment Piggybacking Attacks) の 概 要 と 対 策 Copyright 2014 株 式 会 社 日 本 レジストリサービス 27
第 一 フラグメント 便 乗 攻 撃 (1 st -fragment Piggybacking Attacks)とは イスラエル バル=イラン 大 学 のAmir Herzberg 教 授 とHaya Shulman 氏 により 発 表 された 論 文 に おいて 初 めて 報 告 (2012 年 5 月 17 日 公 開 ) Fragmentation Considered Poisonous <http://arxiv.org/abs/1205.4011> 発 表 直 後 は 大 きな 話 題 とはならず DNS 関 係 者 の 間 で 認 識 されていなかった 可 能 性 あり Copyright 2014 株 式 会 社 日 本 レジストリサービス 28
第 一 フラグメント 便 乗 攻 撃 とは( 続 き) その 後 IETF 87 saag(security Area Advisory Group)の 招 待 講 演 において Shulman 氏 がこの 攻 撃 の 詳 細 を 発 表 (2013 年 8 月 1 日 ) DNS Cache-Poisoning: New Vulnerabilities and Implications, or: DNSSEC, the time has come! <http://www.ietf.org/proceedings/87/slides/slides-87-saag-3.pdf> 発 表 から1カ 月 後 あたりから dns-operationsメーリング リスト(dns-oarc.net)で 大 きな 話 題 に [dns-operations] DNS Attack over UDP fragmentation <https://lists.dns-oarc.net/pipermail/dns-operations/2013- September/010625.html> 100 通 以 上 の 投 稿 Copyright 2014 株 式 会 社 日 本 レジストリサービス 29
攻 撃 の 概 要 IPフラグメンテーションの 仕 様 を 悪 用 した 新 たなDNS キャッシュポイズニング 攻 撃 手 法 フラグメントされたUDPのDNS 応 答 が 攻 撃 対 象 応 答 の 二 つ 目 ( 以 降 )のフラグメントを 偽 物 に 差 し 替 える ことで 応 答 のAuthority/Additionalを 偽 物 に 差 し 替 え +---------------------+ Header +---------------------+ Question +---------------------+ Answer +---------------------+ Authority +---------------------+ Additional +---------------------+ 最 初 の フラグメント 二 つ 目 の フラグメント +---------------------+ Header +---------------------+ Question +---------------------+ Answer Authority/Additionalを 偽 物 に 差 し 替 え Copyright 2014 株 式 会 社 日 本 レジストリサービス 30
おさらい:IPフラグメンテーション IPにおいて1 回 で 送 れる 最 大 の 単 位 (MTU)よりも 大 きなデータを 送 る 場 合 に 発 生 経 路 (Path)MTUより 大 きなUDPパケットの 送 信 時 に 必 ず 発 生 IPの 仕 様 上 有 害 であることは 古 くから 認 識 Fragmentation Considered Harmful(1987 年 ) <http://www.hpl.hp.com/techreports/compaq-dec/wrl-87-3.pdf> DNSでは フラグメンテーションが 起 こり 得 る 大 き なUDPパケットをDNS 応 答 で 使 用 EDNS0(RFC 2671 RFC 6891) Copyright 2014 株 式 会 社 日 本 レジストリサービス 31
攻 撃 のポイント (DNSにおける 従 来 の 対 策 の 無 効 化 ) DNS 応 答 の 同 定 に 使 える 要 素 が 最 初 のフラグメントにしか 存 在 しなくなることを 悪 用 ポート 番 号 (UDPヘッダー) 問 い 合 わせID 問 い 合 わせ 名 (Header/Question) Authority/Additionalを 偽 物 に 差 し 替 えることで 偽 の 権 威 DNS サーバー(NS)に 誘 導 させられる 危 険 性 あり Authority/AdditionalはNS/グルーを 応 答 する 際 に 使 われる +---------------------+ Header +---------------------+ Question +---------------------+ Answer +---------------------+ Authority +---------------------+ Additional +---------------------+ 最 初 の フラグメント 二 つ 目 の フラグメント +---------------------+ Header +---------------------+ Question +---------------------+ Answer 本 物 と 見 分 ける 要 素 は Header/Questionに 存 在 Authority/Additionalを 偽 物 に 差 し 替 え Copyright 2014 株 式 会 社 日 本 レジストリサービス 32
人 物 のコラージュ 作 成 に 類 似 人 物 のコラージュを 作 成 する 行 為 に 類 似 人 物 を 見 分 ける 要 素 が 主 に 顔 にのみ 存 在 するこ とを 利 用 体 を 別 人 の 写 真 に 差 し 替 え 顔 はむしろ 本 物 であると 判 定 させることに 活 用 + = 本 物 と 見 分 ける 要 素 は 主 に 顔 に 存 在 体 を 別 人 の 写 真 に 差 し 替 え Copyright 2014 株 式 会 社 日 本 レジストリサービス 33
IPフラグメンテーションの 弱 点 (Identificaionフィールドの 仕 様 (IPv4)) リアセンブリーにおいて 使 用 されるIdentificationフィール ドの 大 きさが IPv4では16ビットしかない 二 つ 目 のフラグメントを2の16 乗 個 作 成 して 送 り 込 む 総 当 たり 攻 撃 が 成 立 しうる ただし 二 つ 目 のフラグメントを 大 量 に 送 りつけられたOS のプロトコルスタックが 具 体 的 にどう 振 舞 うかは 未 確 定 Example Internet Datagram Header(RFC 791より 引 用 ) Copyright 2014 株 式 会 社 日 本 レジストリサービス 34
IPフラグメンテーションの 弱 点 (Identificaionフィールドの 仕 様 (IPv6)) IPv6ではIdentificationフィールドの 大 きさは32 ビットだが これだけで 安 全 であるとは 言 えない その 理 由 は IPv6 Fragment Header (RFC 2460より 引 用 ) Copyright 2014 株 式 会 社 日 本 レジストリサービス 35
IPv6のIdentificationフィールドの 仕 様 IPv6の 仕 様 (RFC 2460 4.5 Fragment Header)には 以 下 の 記 述 がある Rather, it is assumed that the requirement can be met by maintaining the Identification value as a simple, 32bit, "wrap-around" counter, incremented each time a packet must be fragmented. It is an implementation choice whether to maintain a single counter for the node or multiple counters, e.g., one for each of the node's possible source addresses, or one for each active (source address, destination address) combination. つまり RFC 2460に 従 った 実 装 では Identificationの 値 が 外 部 から 予 測 可 能 となる 場 合 がある Copyright 2014 株 式 会 社 日 本 レジストリサービス 36
Identificationを 予 測 可 能 な 実 装 Fernando Gont 氏 による 調 査 結 果 Identificationの 値 が 外 部 から 予 測 可 能 な 実 装 が 複 数 存 在 Security Implications of Predictable Fragment Identification Values Appendix B. (draft-ietf-6man-predictable-fragment-id-00) OSごとの 実 装 状 況 ( 上 記 I-Dより 引 用 ) 予 測 不 能 :FreeBSD 9.0 Linux-current NetBSD 5.1 OpenBSD-current 予 測 可 能 :Linux 3.0.0-15 Solaris 10 Windows XP SP2 Windows Vista (Build 6000) Windows 7 Home Premium 予 測 可 能 な 場 合 総 当 たり 攻 撃 が 不 要 になる Copyright 2014 株 式 会 社 日 本 レジストリサービス 37
CVE-2011-2699 事 後 資 料 で 追 加 (2014 年 2 月 2 日 ) Linux 3.1 以 前 のIPv6のIdentificationが 予 測 可 能 な 脆 弱 性 は CVE-2011-2699として 報 告 Linux 3.2 以 降 で 対 策 済 ipv6: make fragment identifications less predictable <https://github.com/torvalds/linux/commit/87c48fa3b4630905f98268dde838e e43626a060c> JVNDB-2012-002538 Linux Kernel の IPv6 の 実 装 における サービス 運 用 妨 害 (ネットワーク 障 害 ) の 脆 弱 性 <http://jvndb.jvn.jp/ja/contents/2012/jvndb-2012-002538.html> RHEL 5/6には 上 記 修 正 がバックポートされており 対 策 済 Bug 723429 CVE-2011-2699 kernel: ipv6: make fragment identifications less predictable <https://bugzilla.redhat.com/show_bug.cgi?id=723429> CentOS 6.5にも 同 様 の 対 策 が 適 用 されているとのこと <https://twitter.com/hdais/status/429560330948071424> Copyright 2014 株 式 会 社 日 本 レジストリサービス 38
IPフラグメンテーションの 弱 点 ( 先 回 り 攻 撃 による 確 率 の 向 上 ) 二 つ 目 の 偽 フラグメントを 一 つ 目 のフラグメントよ りも 先 に 送 り 込 む 先 回 り 攻 撃 が 可 能 攻 撃 者 が 攻 撃 対 象 の 名 前 解 決 をトリガーできる 場 合 (オープンリゾルバーや 接 続 先 ISPのキャッシュDNS サーバーを 攻 撃 する 場 合 など)において DNS 問 い 合 わせの 直 後 に 偽 造 した 二 つ 目 のフラグメ ントを 送 り 込 むことで 本 物 のフラグメントよりも(そして 一 つ 目 のフラグメン トよりも!) 確 実 に 先 回 りさせられる つまり 攻 撃 成 功 ( 毒 入 れ)の 確 率 を 上 げられる Copyright 2014 株 式 会 社 日 本 レジストリサービス 39
IPフラグメンテーションの 弱 点 (DNSサーバーの 応 答 ログ) キャッシュDNSサーバーの 応 答 ログには 攻 撃 の 痕 跡 が 残 らない リアセンブリーされなかったフラグメントはIP 層 で 捨 て られ リアセンブリーされた 応 答 のみが 上 位 層 に 到 達 する これに 対 し カミンスキー 型 攻 撃 手 法 では 複 数 のDNS 応 答 が 上 位 層 に 到 達 するため 攻 撃 の 痕 跡 が 残 る IP/データリンク 層 には 痕 跡 が 残 る netstatコマンドやtcpdumpコマンドなどである 程 度 確 認 可 能 Copyright 2014 株 式 会 社 日 本 レジストリサービス 40
二 種 類 の 攻 撃 手 法 (アタックベクター) 大 きなDNS 応 答 を 狙 う Shulman 氏 の 論 文 に 書 かれている 方 法 DNSSECに 対 応 したドメイン 名 のDNSKEY RR 登 録 済 ドメイン 名 に 長 い 名 前 のNSを 多 数 登 録 IPフラグメンテーションを 意 図 的 に 発 生 させる 2013 年 10 月 のRIPE Meetingにおいて CZ.NICのT. Hlavacek 氏 が 発 表 した 方 法 IP fragmentation attack on DNS <https://ripe67.ripe.net/presentations/240-ipfragattack.pdf> ICMPを 偽 造 し 事 前 送 信 Copyright 2014 株 式 会 社 日 本 レジストリサービス 41
ICMPの 偽 造 と 事 前 送 信 偽 のICMP PacketTooBigを 事 前 送 付 してMTUが 小 さい とOSに 誤 認 させ 応 答 パケットをフラグメントさせる 引 用 元 :IP fragmentation attack on DNS <https://ripe67.ripe.net/presentations/240-ipfragattack.pdf> Copyright 2014 株 式 会 社 日 本 レジストリサービス 42
攻 撃 成 立 の 必 要 条 件 ip_off(フラグメントオフセット)の 確 定 ( 予 測 ) 応 答 の 内 容 とMTUがわかれば 確 定 可 能 コラージュにおける つなぎ 目 が 不 自 然 にならないようにする ことに 相 当 チェックサムの 調 整 ( 同 じ 値 になるように) ペイロードやヘッダーの 一 部 を 工 夫 することで 調 整 可 能 NAT66(RFC 6296)において 同 様 の 調 整 を 採 用 済 コラージュにおける 全 体 として 違 和 感 なくつなげられる 体 (フラグメント) を 準 備 しておくことに 相 当 上 記 二 つはいずれも 不 可 能 な 条 件 ではない Copyright 2014 株 式 会 社 日 本 レジストリサービス 43
これまでに 提 案 実 装 された 対 策 DNSSECの 導 入 IPフラグメンテーションの 仕 様 拡 張 キャッシュDNSサーバーにおける 対 策 権 威 DNSサーバーにおける 対 策 UDPにおける 最 大 ペイロード 長 の 抑 制 DNSメッセージサイズの 抑 制 Linuxカーネルにおける 機 能 拡 張 Copyright 2014 株 式 会 社 日 本 レジストリサービス 44
対 策 :DNSSECの 導 入 DNSSECの 導 入 により コラージュ 済 み 応 答 が 不 正 なものであると 検 知 できるようになる キャッシュポイズニング 攻 撃 は 成 立 しなくなる 現 在 のDNSSECの 実 装 では 不 正 な 応 答 を 検 知 し た 場 合 即 座 にSERVFAILエラーになる 意 図 的 なDoS 攻 撃 ( 当 該 の 名 前 へのアクセス 妨 害 )は 現 在 のDNSSECの 実 装 では 防 止 不 可 DNSSECの 本 来 の 仕 様 Copyright 2014 株 式 会 社 日 本 レジストリサービス 45
対 策 :IPフラグメントの 仕 様 拡 張 IPフラグメントの 仕 様 を 拡 張 する IPv6 Stateless Fragmentation Identification Options (draft-andrews-6man-fragopt) コラージュに 対 し 体 (フラグメント)にも 顔 と 同 じ 効 力 を 持 つ 目 印 を 付 け 受 け 取 り 側 でチェックする ことに 相 当 非 現 実 的 Copyright 2014 株 式 会 社 日 本 レジストリサービス 46
対 策 :キャッシュDNSサーバーの 実 装 キャッシュポイズニングの 影 響 を 小 さくする 応 答 のauthority sectionに 設 定 されたNSレコードの ホスト 名 に ランダムなprefixを 付 けてキャッシュする additional sectionに 付 与 されるグルー(A/AAAA)も それ に 併 せて 変 更 する 上 記 により NS/グルーが 同 一 であっても 各 委 任 先 ゾーンごとに 別 扱 いになるようにする Google Public DNSにおいて 採 用 済 カミンスキー 型 攻 撃 手 法 への 対 策 として 導 入 Security Benefits - Public DNS Google Developers <https://developers.google.com/speed/publicdns/docs/security#nonce_prefixes> Copyright 2014 株 式 会 社 日 本 レジストリサービス 47
対 策 : 権 威 DNSサーバーの 実 装 応 答 にランダムなRRを 付 与 する EDNS0のバッファーサイズを 毎 回 変 更 する いずれの 対 策 も コラージュを 成 立 しにくくするため 継 ぎ 目 を 一 定 でなくす ことに 相 当 Copyright 2014 株 式 会 社 日 本 レジストリサービス 48
対 策 : 最 大 ペイロード 長 の 抑 制 DNSのUDPにおける 最 大 ペイロード 長 を IPフラグメン テーションが 発 生 しない 大 きさに 抑 制 する max-udp-size(bind 9)やudp-max-size(Unbound)など 現 在 のデフォルト 値 はBIND 9/Unboundともに4096 DNSSEC(RFC 4035)では 少 なくとも1220のサポート 必 須 4000をサポートすべき と 規 定 設 定 値 の 参 考 となるもの 1220:DNSSEC 対 応 リゾルバーにおける 最 小 のEDNS0バッファーサイズ(RFC 4035) 1280~1410:EDNS0(RFC 6891)における Ethernetにおけるリーズナブルな 値 Copyright 2014 株 式 会 社 日 本 レジストリサービス 49
対 策 :DNSメッセージサイズの 抑 制 DNSSECの 鍵 や 署 名 をできるだけ 短 くする 鍵 長 やロールオーバーの 方 式 を 工 夫 する JP DNSサーバーに 設 定 されるDNSSEC 関 連 情 報 の 内 容 一 部 変 更 について <http://jprs.jp/tech/notice/2011-07-29-jpdns-dnskey-and-rrsigchange.html> アルゴリズムとしてECDSA( 楕 円 関 数 )を 使 用 する すべてのバリデーターが 楕 円 関 数 に 対 応 しているわけでは ないことに 注 意 Copyright 2014 株 式 会 社 日 本 レジストリサービス 50
対 策 :Linuxカーネルにおける 機 能 拡 張 PMTUDの 結 果 を 無 視 するソケットオプションを 新 設 これにより 偽 のICMP PacketTooBigを 受 け 入 れないように 設 定 可 能 Linux-currentに 導 入 済 Linux 3.14においてリリース 版 にも 導 入 予 定 想 定 される 使 用 方 法 max-udp-size 1220などによりフラグメントが 起 こらない 状 態 に 設 定 かつ このソケットオプションを 使 用 し 偽 のICMP Packet too Bigを 受 け 入 れないように 設 定 参 考 :dns-operations ML 投 稿 されたサマリー [dns-operations] summary of recent vulnerabilities in DNS security. <https://lists.dns-oarc.net/pipermail/dns-operations/2014- January/011249.html> Copyright 2014 株 式 会 社 日 本 レジストリサービス 51
IPフラグメンテーション 回 避 による 影 響 IPフラグメンテーションを 回 避 する 設 定 を 各 DNS サーバーに 適 用 した 場 合 TCPの 問 い 合 わせ 数 の 増 加 が 予 想 される ルートサーバーやJP DNSサーバーなどの 負 荷 増 大 につながる どの 程 度 増 加 するのかについては 検 証 が 必 要 IP Anycastの 運 用 に 影 響 を 与 える 可 能 性 がある どの 程 度 影 響 があるのかについては 検 証 が 必 要 Copyright 2014 株 式 会 社 日 本 レジストリサービス 52
まとめ: 第 一 フラグメント 便 乗 攻 撃 (1/4) IPフラグメンテーションの 仕 様 を 悪 用 DNS 応 答 の 二 つ 目 ( 以 降 )のフラグメントを 差 し 替 え DNS 応 答 の 同 定 に 使 える 要 素 を 無 効 化 同 定 に 使 える 要 素 は 最 初 のフラグメントに 存 在 IPフラグメンテーションの 弱 点 Identificationフィールドの 仕 様 (IPv4/IPv6) 先 回 り 攻 撃 DNSサーバーの 応 答 ログ Copyright 2014 株 式 会 社 日 本 レジストリサービス 53
まとめ: 第 一 フラグメント 便 乗 攻 撃 (2/4) 二 つの 攻 撃 手 法 (アタックベクター) 大 きなDNS 応 答 を 狙 う DNSKEY RR 長 い 名 前 のNSレコード IPフラグメンテーションを 意 図 的 に 発 生 させる 偽 のICMP PacketTooBigを 送 付 Copyright 2014 株 式 会 社 日 本 レジストリサービス 54
まとめ: 第 一 フラグメント 便 乗 攻 撃 (3/4) 提 案 実 装 された 対 策 DNSSECの 導 入 IPフラグメンテーションの 仕 様 拡 張 DNSサーバー 実 装 における 工 夫 キャッシュDNSサーバー 権 威 DNSサーバー IPフラグメンテーションの 回 避 UDPにおける 最 大 ペイロード 長 の 抑 制 DNSメッセージサイズの 抑 制 OSカーネル(プロトコルスタック)における 対 策 Copyright 2014 株 式 会 社 日 本 レジストリサービス 55
まとめ: 第 一 フラグメント 便 乗 攻 撃 (4/4) IPフラグメンテーション 回 避 による 影 響 TCPの 問 い 合 わせ 数 の 増 加 ルート/TLDのサーバーの 負 荷 増 大 IP Anycastの 運 用 への 影 響 の 可 能 性 Copyright 2014 株 式 会 社 日 本 レジストリサービス 56
3. レジストリ レジストラへの 攻 撃 の 現 状 Copyright 2014 株 式 会 社 日 本 レジストリサービス 57
登 録 情 報 に 対 する 攻 撃 最 近 レジストリ レジストラの 登 録 情 報 に 対 する 攻 撃 事 例 が 発 生 している 具 体 的 には NSレコードの 不 正 書 き 換 え 登 録 情 報 の 例 Copyright 2014 株 式 会 社 日 本 レジストリサービス 58
おさらい: 登 録 情 報 の 流 れ 登 録 者 (リセラー) レジストラ レジストリ レジストリが 登 録 情 報 から 自 身 が 管 理 する 権 威 DNSサーバーを 設 定 登 録 者 リセラー example.jp ネームサーバー 情 報 登 録 者 情 報 etc レジストラ ( 指 定 事 業 者 ) example.jp ネームサーバー 情 報 登 録 者 情 報 etc レジストリ example.jp ネームサーバー 情 報 登 録 者 情 報 etc JP DNS サーバー example.jp ネームサーバー 情 報 委 任 example.jp 権 威 DNS サーバー Copyright 2014 株 式 会 社 日 本 レジストリサービス 59
登 録 情 報 の 不 正 書 き 換 え 流 れのどこかで 登 録 情 報 を 不 正 に 書 き 換 え レジストリ レジストラが 狙 われる 事 例 が 最 近 多 発 登 録 者 リセラー example.jp ネームサーバー 情 報 登 録 者 情 報 etc レジストラ ( 指 定 事 業 者 ) 1 example.jp ネームサーバー 情 報 登 録 者 情 報 etc 2 3 レジストリ example.jp ネームサーバー 情 報 登 録 者 情 報 etc 4 JP DNS サーバー example.jp 偽 ネームサーバー 情 報 例 : ここが 狙 われる 事 例 が 最 近 多 発 1 登 録 者 になりすまして レジストラのデータベースを 書 き 換 え 2レジストラのシステムの 脆 弱 性 を 突 き データベースを 書 き 換 え 3レジストラになりすまして レジストリのデータベースを 書 き 換 え 4レジストリのシステムの 脆 弱 性 を 突 き データベースを 書 き 換 え 偽 example.jp 権 威 DNSサーバー Copyright 2014 株 式 会 社 日 本 レジストリサービス 60
最 近 の 攻 撃 事 例 (2012 年 10 月 以 降 ) 年 月 対 象 TLDレジストリ レジストラ 2012 年 10 月.ie(アイルランド) 2012 年 11 月.pk(パキスタン).ro(ルーマニア) 2012 年 12 月.rs(セルビア) 2013 年 1 月.tm(トルクメニスタン).lk(スリランカ) 2013 年 2 月.pk(パキスタン 2 回 目 ).mw(マラウイ).edu(gtld) 2013 年 3 月.bi(ブルンジ).gd(グレナダ).tc( 英 領 タークス カイコス 諸 島 ).vc(セントビンセントおよび グレナディーン 諸 島 ) 2013 年 4 月.kg(キルギスタン).ke(ケニア).ug(ウガンダ).ba(ボスニア).om(オマーン).mr(モーリタニア) 注 :JPRSにおいて 把 握 しているもののみ 年 月 対 象 TLDレジストリ レジストラ 2013 年 5 月.mw(マラウイ 2 回 目 ) 2013 年 7 月.my(マレーシア).nl(オランダ).be(ベルギー 同 一 月 内 に2 回 登 録 情 報 には 被 害 なし) Network Solutions(gTLDレジストラ 登 録 情 報 には 被 害 なし) 2013 年 8 月.nl(オランダ 2 回 目 ).ps(パレスチナ) Melbourne IT(gTLDレジストラ) 2013 年 9 月.bi(ブルンジ 2 回 目 ).ke(ケニア 2 回 目 ) 2013 年 10 月 Network Solutions(gTLDレジストラ) Register.com(gTLDレジストラ).my(マレーシア 2 回 目 ).cr(コスタリカ).qa(カタール).rw(ルワンダ) 2014 年 1 月.me(モンテネグロ) Copyright 2014 株 式 会 社 日 本 レジストリサービス 61
主 な 被 害 (1/4).tm.lk(2013 年 1 月 ) 登 録 者 の 電 子 メールアドレスと 平 文 パスワードが 流 出.tm: 約 5 万 件 うち.jpのメールアドレス 約 1000 件.lk: 約 1 万 件 原 因 : 登 録 画 面 のSQLインジェクション 脆 弱 性.edu(2013 年 2 月 ).nl(2013 年 7 月 ) 全 登 録 者 レジストラのパスワードの 強 制 リセット パスワードファイルの 外 部 流 出 が 疑 われたため 同 年 1 月 末 のmit.eduのドメイン 名 ハイジャック 事 例 との 関 連 性 同 年 8 月 の.nlの 事 例 ( 後 述 )との 関 連 性 Copyright 2014 株 式 会 社 日 本 レジストリサービス 62
主 な 被 害 (2/4).nl(2013 年 8 月 ) あるレジストラのパスワードがクラック レジストラが 管 理 するドメイン 名 数 千 件 がハイジャックの 被 害 に マルウェア 配 布 サイトに 誘 導 ドライブ=バイ=ダウンロードの 手 法 を 利 用 ( 当 該 Webページを 開 いただけでマルウェアを 強 制 ダウンロード) 前 回 (2013 年 7 月 )の 事 件 で 流 出 したID/ハッシュパスワー ドがクラックに 使 われた 可 能 性 あり( 未 確 認 ) 流 出 したパスワードは.nlレジストリ(SIDN)により 強 制 変 更 済 パスワードを 元 に 戻 したレジストラがあった 可 能 性 Copyright 2014 株 式 会 社 日 本 レジストリサービス 63
主 な 被 害 (3/4) Melbourne IT(2013 年 8 月 ) シリア 電 子 軍 を 名 乗 る 者 による 犯 行 あるリセラーのアカウント 情 報 を 盗 まれ リセラーの 登 録 シ ステムに 不 正 侵 入 リセラーの 登 録 システムに 存 在 した 脆 弱 性 を 突 き 本 来 は 書 き 換 えることのできない 別 アカウントが 管 理 するドメイ ン 名 登 録 情 報 を 不 正 書 き 換 え nytimes.com twimg.comなどがドメイン 名 ハイジャックの 被 害 に 不 正 書 き 換 えされたNSレコードのTTLが 長 かったため DNSキャッシュが 長 時 間 にわたって 残 存 し 影 響 が 長 時 間 に 及 んだ Copyright 2014 株 式 会 社 日 本 レジストリサービス 64
主 な 被 害 (4/4) Network Solutions Register.com(2013 年 10 月 ) パレスチナに 関 する 政 治 的 声 明 が 書 かれたWebページに アクセスを 誘 導 アンチウイルスベンダー 著 名 なWebサービス セキュリティベンダーなどが 被 害 に avira.com, avg.com alexa.com, leaseweb.com, redtube.com, whatsapp.com metasploit.com, rapid7.com レジストラへのFAXによりメールアドレス 設 定 パスワード をリセットする 手 口 が 使 われた レジストラのサービスを 悪 用 Copyright 2014 株 式 会 社 日 本 レジストリサービス 65
攻 撃 の 特 徴 (1/2) いわゆるドメイン 名 ハイジャックがほとんどを 占 める NSレコードの 不 正 書 き 換 え 著 名 な(インパクトの 大 きい)ドメイン 名 が 狙 われやすい google.tld yahoo.tld microsoft.tldなど 主 な 手 口 は 既 知 の( 防 御 可 能 な) 脆 弱 性 の 悪 用 や ソーシャルエンジニアリングによるアカウントの 盗 難 など 現 時 点 では 攻 撃 者 による 示 威 行 為 が 主 流 Hacked by といったページ 政 治 的 メッセージを 表 示 するページなどへの 転 送 利 用 者 からのクレームにより 状 況 が 発 覚 登 録 情 報 の 切 り 戻 しにより 数 時 間 ~1 日 程 度 で 復 旧 Copyright 2014 株 式 会 社 日 本 レジストリサービス 66
攻 撃 の 特 徴 (2/2) 運 営 基 盤 の 弱 いレジストリやレジストラが 狙 われ やすい しばらくはこの 傾 向 が 続 くと 考 えられる 一 度 やられた 組 織 が 再 度 やられるケースがある 根 本 的 な 脆 弱 性 対 策 を 実 施 せずサービスを 再 開 別 の 脆 弱 性 を 狙 われる 場 合 もあり レジストラ リセラーが 標 的 になるケースがある レジストリ レジストラだけでは 防 ぎきれない DNSSECでは 防 げない DNSSECの 設 定 も 書 き 換 え 可 能 Copyright 2014 株 式 会 社 日 本 レジストリサービス 67
有 効 な 対 策 ポイント(1/2) 基 本 はWebセキュリティにおける 対 策 と 同 様 多 くの 攻 撃 は 既 知 の 脆 弱 性 を 悪 用 したもの 既 知 の 脆 弱 性 は 必 ず 対 策 しておくこと ソーシャルエンジニアリングにも 注 意 著 名 なドメイン 名 の 登 録 情 報 の 変 更 に 注 意 著 名 な 企 業 団 体 や 政 府 機 関 など Copyright 2014 株 式 会 社 日 本 レジストリサービス 68
有 効 な 対 策 ポイント(2/2) チェック 機 構 を 活 用 することも 有 効 メールなどによる 事 前 警 告 人 による 事 前 チェックなど 一 部 のTLDでは レジストリロック を 活 用 可 能 通 常 の 方 法 での 登 録 情 報 変 更 を 禁 止 する 仕 組 み DNSSEC 関 連 の 設 定 変 更 には 要 注 意 DSレコードの 削 除 書 き 換 え 不 正 書 き 換 えの 早 期 発 見 につながる 可 能 性 Copyright 2014 株 式 会 社 日 本 レジストリサービス 69
JPRSにおける 取 り 組 み 脆 弱 性 情 報 の 収 集 と 対 応 システムに 対 する 脆 弱 性 試 験 の 実 施 情 報 提 供 広 報 注 意 喚 起 今 している 発 表 (まさに!) 指 定 事 業 者 に 認 証 情 報 管 理 の 徹 底 を 注 意 喚 起 レジストリロックの 導 入 検 討 Copyright 2014 株 式 会 社 日 本 レジストリサービス 70
Q and A Copyright 2014 株 式 会 社 日 本 レジストリサービス 71