DNS関連のセキュリティリスクトップ3とその対策:DNSの守り方
インターネットの根幹を成すDNSは、攻撃者にとって魅力的な標的だ。よく使われる3つのDNS攻撃と、その対策を紹介する。
ドメインネームシステム(DNS)は、インターネットのあらゆる場面で利用される。DNSには各サイトの「デジタルID」が全て格納されている。恐らく、セキュリティプロファイルの中で最も重要な構成要素といえるだろう。その結果、DNSを狙う脅威の件数が急増中だ。DNSリスクの中で最も多いものを3つ挙げる。いずれも、組織のセキュリティリストの中で、最優先課題とすべきものだ。
レジストラの乗っ取り
企業は、「レジストラ」と呼ばれる業者からその企業専用のドメイン名を業務用として購入する。このレジストラに脆弱(ぜいじゃく)性が存在する可能性がある。企業がレジストラと契約して取得した自社アカウントを攻撃されて攻撃者にそのアカウントの制御を奪われると、攻撃者は自身が管理するサーバへアカウントの所有権を移す。この攻撃は(具体的に言えば)、攻撃者がアカウントのパスワードを破るか、レジストラのサポートスタッフに対してソーシャルエンジニアリングを仕掛け(てパスワードを取得し)た場合に発生する。
このリスクを最小限に抑えるには、とにかくアカウントのパスワード管理を強化することだ。従って、多要素認証や自社専属のアカウントマネジャー(レジストラ側の窓口担当者)など、アカウントのセキュリティを強化する高度なオプションを提供しているレジストラを選択するのが望ましい。そのオプション(プレミアサービス)を適用するとアカウント使用料を上乗せすることになるだろうが、セキュリティの強化にはそれだけの価値がある。
タイポスクワッティング
前述の「レジストラの乗っ取り」の次に多い攻撃は、「タイポスクワッティング」だ。いつもの手口でパスワードを破ることができなかった攻撃者は、わなを仕掛けてユーザーをおびき寄せることがある。タイポスクワッティングとは、偽のドメイン名を登録しておく攻撃だ。その偽ドメイン名は、(標的とする)企業が所有する正規のドメイン名に非常に似ている。攻撃者はこの攻撃を仕掛けてWebトラフィックを不正なサイトに誘導し、さまざまな種類のフィッシング攻撃を仕掛ける。
この脅威への対策のベストプラクティスは、自社ドメイン名に類似している新規登録ドメイン名がないかどうかを定期的に監視することだ。デジタル空間における自社ブランド管理と保護の業務を代行してくれる業者も存在するので、必要ならば委託する手もある。
キャッシュポイズニング(汚染)
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
Copyright © ITmedia, Inc. All Rights Reserved.