現在地 HOME > 掲示板
★阿修羅♪
|
現在地 HOME > 掲示板
★阿修羅♪
|
|
(回答先: ネットの根幹「ルートサーバー」に攻撃 投稿者 小耳 日時 2002 年 10 月 23 日 18:19:37)
ルートサーバ攻撃、失敗に終わるも脅威を残す(ZDNET)
http://www.zdnet.co.jp/news/0210/24/ne00_attack.html
13台のインターネットルートサーバに仕掛けられたDoS攻撃は、大きな問題につながることはなかった。だが今後もっと高度な攻撃が行われる可能性があるため、セキュリティの強化が求められている
10月21日、「インターネットの住所録」として機能しているルートサーバに対し、広範囲にわたって初歩的な攻撃が仕掛けられたが、この攻撃が大きな問題を引き起こすことはなかった(10月23日の記事参照)。しかし専門家は、セキュリティをもっと強化する必要があると警告している。
この日、インターネットの13台のドメインネームサービス(DNS)ルートサーバに、一斉にサービス拒否(DoS)攻撃が仕掛けられた。だが攻撃に使われたデータが単純だったことと、システムの弾力性のおかげで、管理者は迅速にデータの奔流をブロックすることができた。
セキュリティ専門家は、もっと高度な攻撃が仕掛けられていたら、ルートサーバの動作が長時間中断され、インターネットアクセス障害が発生していた可能性があるとしている。攻撃でルートサーバへのアクセスが8−10時間中断されていたら、一般のインターネットユーザーがアクセス速度の低下に気付いていたかもしれないと、DoS攻撃防止技術を手がけるArbor Networksのネットワークアーキテクチャディレクター、Craig Labovitz氏は語る。
「誰かがルートサーバの乗っ取りに成功したら、状況はかなり違ってくる」と同氏。
今回の攻撃でインターネットに障害が起きるようなことはなかったが、10月23日の時点では、当初より集中度は低いもののDoS攻撃は続いており、まだ攻撃が終わったとは言えないようだ。さらに、攻撃を仕掛けた犯人はうまく足跡を消したらしく、居所を突き止めるのは難しいかもしれない。
今回の攻撃を受けて、13台のルートサーバを管理する企業/組織の一部は、これらサーバのセキュリティを見直すと約束した。
2台のルートサーバを管理するVeriSignは、セキュリティの強化が必要かどうかを検討しているところだと、同社スポークスマンのBrian O'Shaughnessy氏は語る。同社は、.comドメインの13台のトップレベルドメインサーバも管理している。
「当社は常にセキュリティを向上させる方法を模索している。当社が置かれている環境は流動的だ。誰かが常に悪事を働こうとしているのだから」(同氏)。
O'Shaughnessy氏は、同社が管理する「A」と「J」のルートサーバが、一斉DoS攻撃でダウンしたとの主張に異を唱えている。「この主張は間違っている。DoS攻撃でダウンしなかった4台のルートサーバのうち、2台が当社の担当サーバだった」。
21日の攻撃は、大量のICMP(Internet Control Message Protocol)パケットを、.com、.org、.ukなどのトップレベルドメインに関する情報を扱う13台のルートサーバに送りつけるという形で行われた。
ICMPパケットは、よく使われているpingパケットのように、エラーの報告やネットワーク接続の確認に使われるネットワークデータを運ぶ。このようなデータを大量に送りつけることで、ネットワークインフラのボトルネック部分を詰まらせてサーバへのアクセスをブロックし、正当なデータが送信先に届くのを妨害できる。
しかし、ICMPはネットワーク管理に不可欠なものというわけではない。データ送信用サーバ/ルータの多くは、このプロトコルをブロックする傾向がある。管理者はこの手を使って、21日午後にDNSルートサーバに向かってくるデータの洪水をストップさせた。
脅威は去らず
しかし、専門家はもっと高度な攻撃が起きる可能性を懸念している。
「(今回の攻撃で)インターネットに大きな影響は及ばなかった。インターネットに弾力性があり、また管理者が迅速に対応したからだ。しかし、今後はこれよりも大規模な攻撃が行われるだろう」とブッシュ米大統領直轄の重要インフラ保護委員会(PCIPB)スポークスマン、Tiffany Olsen氏は語る。この委員会は、米国の「National Strategy to Secure Cyberspace」(9月19日の記事参照)の作成を担当している。
米連邦捜査局(FBI)がこの件について捜査に乗り出したが、こうした分散型の攻撃では、ランダムに選んだマシンからデータを送りつけるため、犯人を見つけるのは難しいだろうと専門家は指摘する。
もっとも、セキュリティ専門家は、誰が実行したのであろうと、今回の攻撃はそれほどレベルが高くないとしている。
「この種の攻撃を実行できるスクリプトやツールは数十とある。この攻撃は、コンピュータ科学者や奸智に長けたハッカーでなくても実行できる」とArborのLabovitz氏。
またインターネットパフォーマンス測定サービスを提供するMatrix NetSystemsは23日に、攻撃は続いているようだと語った。「現在、5台のルートサーバに問題が見られる」と同社CEO(最高経営責任者)のBill Palumbo氏。同氏は、この5台はメンテナンスなどの理由でダウンしている可能性もあると認めてはいるが、ドメイン名情報のリクエストにいまだに遅れが見られると指摘している。
DNSサーバは、電話帳のように名前(「cnet.com」などのWebサイトの名前)と番号(IPアドレス)を結びつける役割を果たしている。
またこのシステムは階層構造になっており、特定のアドレスにアクセスしようとすると、まずローカルDNSサーバに誘導される。そこでドメインが見つからなければ、リクエストはその上位にある.comなどのトップレベルドメインのDNSサーバへと送られる。
リクエストがルートサーバにまで送られることは少なく、たいていは新しいローカルDNSサーバが追加された場合に限られる。さらに、DNSサーバのエントリには、それぞれTime-To-Live(TTL)と呼ばれる有効期限がある。この有効期限が切れると、エントリは削除されたものと見なされ、ローカルDNSサーバは、最新のアドレス情報をトップレベルドメインのDNSサーバに問い合わせなければならない。
「毎日数万の新しいアクセス経路が通知されていることを理解する必要がある。このため、キャッシュの信頼性がかなり急速に低下している」とMatrix NetSystemのPalumbo氏。
13台のDNSルートサーバがすべて完全にダウンしたとしても、その状態が数時間、数日と続かない限り、ローカルDNSサーバのキャッシュが期限切れになるまではインターネットが停止することはない。
DNSの生みの親であり、ドメイン名ソフトメーカーNominumの主任科学者であるPaul Mockapetris氏は、各ルートサーバに格納されているレコードは300件程度にすぎず、管理者はそれよりも、この先.com DNSサーバ群が保持している約300万件のレコードの心配をすべきだとしている。
「ルートサーバのセキュリティは、1カ月のうちに強化されるだろう。今回の攻撃は、アフガニスタンのダムボム(誘導型ではない原始的な爆弾)のようなものだ。今後はもっと高度な攻撃を警戒しなければならない」(同氏)。
題名には必ず「阿修羅さんへ」と記述してください。