IPAは対策の遅れているDNSキャッシュポイズニング攻撃に関する「教科書」を公開、仕組みや対策ツールの使い方の説明を通じてWebサイト管理者に対策を促す。
IPA(情報処理推進機構)は1月14日、2008年中ごろから深刻化しているDNSキャッシュポイズニングの脆弱性対策に関する資料を公開した。DNSの仕組みや脆弱性検査ツールの使い方を解説する内容で、Webサイトでの対策の不備を無くすのが狙い。IPAのサイトよりダウンロードできる。
DNSキャッシュポイズニングとは、DNSサーバのキャッシュ(記録)を偽の情報で書き換える攻撃手法のこと。“汚染”されたDNS情報を誤って参照したコンピュータ端末は不正サイトなどに誘導され、フィッシング詐欺の標的にされたり通信の内容を盗聴されたりする恐れがある。2008年には、7月にDNSサーバを汚染させる脆弱性を突く攻撃コードが発見されて以来脆弱性の報告が急増。IPAではこれを受けて、9月および12月にWebサイト運営者に向けて注意を喚起したが「実際に稼働中のWebサイトのDNSサーバに、対策が十分に実施されていないのではないか」という届け出が今なお数多く寄せられているため、脅威の理解や対策を促進する目的で資料を作成した。
IPAが公開したキャッシュポイズニング対策資料は全48ページからなるPDF文書。DNSの役割や仕組み、汚染手法、脆弱性チェックツール「Cross-Pollination Check」「DNS-OARC Randomness Test」の使い方、そしてBINDやWindowsの適切なDNS設定について具体的に解説している。
DNSはサーバだけではなくWANルータなどのネットワーク機器にも実装されているため、キャッシュポイズニング攻撃による被害は広範に及ぶ可能性がある。対策が未実施のWebサイトの管理者はパッチの適用や設定変更を早急に行いたい。
次世代生成AIで優位に立つのはMeta? Google? それともマスク氏のあの会社?
生成AI時代において、データは新たな金と言える。より人間らしい反応ができるようになる...
GoogleからTikTokへ 「検索」の主役が交代する日(無料eBook)
若年層はGoogle検索ではなくTikTokやInstagramを使って商品を探す傾向が強まっているとい...
B2B企業の市場開拓で検討すべきプロセスを定義 デジタルマーケティング研究機構がモデル公開
日本アドバタイザーズ協会 デジタルマーケティング研究機構は、B2B企業が新製品やサービ...