マビノギ

アルファ_tar

09/07/14 22:28

＞DNSキャッシュポイズニングってなに？

例えばネクソン本社に電話をかけることを考えてみる。
あなたが電話番号を知っているならそのままかければよいが知らなかったらどうするか？　電話帳で調べる、１０４で問い合わせる、ネクソンのホームページで探す、などの方法で電話番号を調べてからかけることになるだろう。だが、もしそこでウソの電話番号を教えられたらどうなるか？　ネクソン本社にかけてるつもりでまったく別の会社にかけてしまうことになる。

DNS とはネット上での名前→電話番号の検索を自動で行うプログラム（のようなもの）で、DNSキャッシュポイズニングとはこのプログラムに介入してウソの情報を登録して
ユーザを偽サイトに誘導するような手法のことを言う。

ものすごく大雑把に言えば、ネット上でのオレオレ詐欺と理解すればよい。
ただ、詐欺られるのはあなたではなくあなたのＰＣであるのだが。

アルファ_tar

09/07/14 22:30

＞DNSってどこにあるの？

およそネットにつながるコンピュ－タには全てDNSないし類似のプログラムが組み込まれていると思ってよい。
ネット上のDNSはそれぞれ連携して動作し、例えば、あなたがネット上のどこかのサイト（例えば www.nexon.co.jp）にウェブブラウザでアクセスするような場合、ウェブブラウザはまず自分自身が動作しているパソコンのOSに問合せを行う。
問い合わせを受けたOSが対応するアドレスを知っていれば良いが、知らなかった場合はOSはネットにつながっている手近のコンピュータのDNSに自動的に問い合わせる。
問合せを受けたDNSも知らなかった場合は更に・・・と伝言ゲームの要領で問合せを繰り返す、という仕組みである。

アルファ_tar

09/07/14 22:31

＞DNSキャッシュポイズニングについてもう少し詳しく

問合せを受けたDNSは、問合せの答えを持っていなかった場合は他のDNSに問合せに行く。その瞬間を狙い、又聞きした問合せに対する答えが返ってくる前に素早くウソの回答を送り込んでやるとDNSはころっと騙されてしまう（実際はもう少し複雑だが、原理的にはこういうことである）。

ちなみにDNSキャッシュポイズニングというものは最近になって現れたクラック手段ではなく１９９０年代から既に類似の事件があった、いわば古典的な攻撃手段。

根本的な対策は・・・というと実は「ない」。できることはできるだけ偽情報を送り込みにくく（クラッカがウソ情報を送り込むタイミングを把握しにくく）することのみ。

自由板で最近騒がれているのはネクソンのDNSが比較的騙されやすい設定になっている、という話。

アルファ_tar

09/07/14 22:34

＞それってヤバくね？

上で「パソコンOSは手近のDNSに自動的に問い合わせる」と書いた。なので、自分のパソコンが問い合わせるDNSにウソ情報が書き込まれていたら致命的な問題になるが、逆に言えば、自分自身のパソコンが問い合わせることのないDNSであるならどうでもいい、ということになる。

大抵の場合、ＰＣの設定はプロバイダのDNSに問い合わせるように設定されていると思う（私の場合はプロバイダにニフティを使ってるのでニフティのDNSということになる）
もちろん伝言ゲームの要領で次々と繰り返し問合せを行うので、そのどこかがやられていれば問題になる。

だがしかし、だ。
ネクソンのDNSはネクソンの提供するコンテンツのためにある。ネクソンのDNSに問合せしなければならないような事柄はすべてネクソンのDNSが知っていることなので他のDNSに問い合わせる必要はない。つまりウソ情報を書き込まれる機会がない（※１）。
ネクソンの提供するコンテンツ以外の事柄についてはネクソンのDNSに聞いても知ってるはずがないので問い合わせる必要がない。

よって、ネクソンのDNSの設定の甘さは問題といえば問題なのだが即座にプレイヤーに致命的な問題を引き起こすものではない、と考えてよい（※２）。
むしろDNSの設定が甘い→他のサーバの設定も甘いんじゃねか？（＝他に大穴開いてんじゃないの？）という疑いのほうが問題である（※３）。

（※１）「ウソ情報を書き込まれる機会がない」
確かDNSは自分が知っている情報について、あらかじめ教え込まれており、それ以外について問合せされた場合に外部に再問合せする、という仕組みだったように記憶しているが、時間が無くて「自分が知っている」範囲の情報についてもウソ情報を仕込まれる可能性が有るのかどうか確認できなかった。
気になる方は、次の「でもやっぱ不安だ」をトピックを参照のこと。

（※２）
DDOS攻撃の踏み台・・・という問題もあるようだが、パスワード更新問題とは無関係なので割愛する。

（※３）
騙されにくい設定にするとDNSの処理効率が落ちるのでそれを嫌って対策しない、という例もあるらしい。

アルファ_tar

09/07/14 22:37

＞でもやっぱ不安だ。パスワード変更はやめたほうがいい？

「パスワード変更はやめたほうがいい？」が「パスワード変更しなければ安全か？」という意味なら　※※　大間違い　※※。

正しくは「ネクソンのサイトに一切アクセスしてはいけない」。マビ本体の起動も当然すべきでない。

「パスワード変更しなければ安全」というのはクラッカが偽サイトを作ってパスワード入力されるのを待ち構えている、ということを想定しているのだと思うが、考えてもみよ、それは全てのネクソンへのアクセスを全て横取りする、ということだ。毎日数千人がアクセスするネクソンのサイトのデータ転送量は半端じゃない（さっき見たら7万人が接続中などと表示されてた）。
そんなアクセスに耐えうる偽造サイトを構築するくらいなら「メンテナンス中です」のみ表示して、その裏でありとあらゆる攻撃スクリプトを実行するような偽サイトに誘導する、としたほうがよっぽど効率的だ。偽のアバターActiveXを送り込んであんなことこんなことやり放題、という手もある。
だからDNSキャッシュポイズニングが疑われるなら一切アクセスしない、が正しい対応となる（マビ卒業おめでとう！）
また、自由板やFA板の閲覧検索が正常にできているようなら偽サイトに誘導されているのではない、と思って大丈夫と思う。

だがもしかしたら、自由板からFA板からすべて本物そっくりに偽造したサイトを構築するような酔狂な攻撃をするクラッカもいるかもしれない。それを瞬時に見破るのはたぶん相当困難なことではないかと思われる。
そんな万に一つあるかどうかも判らない危険に備えてパスワード変更を見送るか、パスワード変更しないことの方のリスクを重視して変更するか、あとは個人の判断。

私は、定期的／またはヤバいと思ったらパスワード変更することを薦めるけどね。

氷砂糖_mor

09/07/15 02:47

足りない頭でがんばってみた。。


･運営側的にDNSサーバというと

Ⅰ自分の管理してるゾーンに対しての質問を、ファイルからの検索により答えを返す仕事をするもの(ルートネームサーバとして機能する

Ⅱルートネームサーバに対する問い合わせと、その問い合わせの内容をキャッシュとして一時保管するもの(キャッシュサーバとして機能する

尚、上記Ⅰ及びⅡのDNSサーバは、NEXONのDNSサーバである(たとえ外部であっても監視する必要がある



今回の場合、Ⅱにあたるキャッシュサーバに対して、誤りのある情報がキャッシュとして外部から加えられることによって、そのキャッシュの有効期間内は問い合わせの内容にはその誤りのあるものを返し続けることになる。

※キャッシュは、管理者による操作がなければ、設定した期間を過ぎて廃棄されるまで上書きされない
※誤りのある情報を記録させる方法はDNSキャッシュポイズニングの仕込み方について調べて･･


･自由掲示板で貼られているIANAの危険度チェックサイトの判断基準は、このキャッシュサーバに対する外部PCからの問い合わせ強度に対するものであり、ネクソン側のキャッシュサーバの強度の目安である(仕込みやすさ


そして、IDパス入力ページの偽造ができる(ドメイン全部書き換えなければならないわけではない)場合もあるらしい。鯖管理の仕事の旦那が起きないと詳しくはわかんない。。

02:50 なんか自分が謎を呼んでたらしいので、自分の謎文を修正。