誤報訂正:『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』報道について

computerworld.jpは3月17日に『2010年に最も警戒すべきセキュリティ脅威は「DNSバインディング」』と題した記事を公開したが、一部誤報があるので訂正する。

米国White Hat Securityの研究者らがまとめた2010年版の深刻なセキュリティ脅威トップ10では、DNSバインディングが1位となった。同社では、2006年から毎年、脅威トップ10を発表している。

http://www.computerworld.jp/news/sec/177029.html

当初、この記事を読んで違和感を覚えた。DNSバインディングという攻撃手法そのものは以前から知られているものであるし、この記事で説明されている脅威の内容についても、以前から知られているものと違わない。このタイミングでなぜ、DNSバインディングがもっとも警戒すべきなのか。このため、この記事の裏を取ってみようと思った。この記事の末尾に「(Tim Greene/Network World米国版) 」と記者名が明示されているので、Network World米国版から元となる記事を探すことにした。それにしても、この種の記事は元記事のURLをなぜ明記しないのだろうか。
元記事自体はすぐに見つかった。以下の記事であろう。

Internet browser threat 'DNS rebinding' alters nothing and is impossible to trace, researchers say
By Tim Greene, Network World
An undetectable browser exploit that bares corporate networks to attackers tops the list of the most potentially effective new attacks that have been devised by researchers seeking vulnerabilities to take advantage of, according to a study by White Hat Security.
The one attack deemed most serious is called DNS rebinding in which attackers turn victims' browsers into Web proxies that do the attackers' bidding, says Jeremiah Grossman, CTO of White Hat Security who, with the help of other experts, compiled the top 10 list of new threats as he has each year since 2006.

http://www.networkworld.com/news/2010/031610-internet-browser-threat.html

引用した部分の要約が元記事の冒頭に記載されているようだが、両者の内容は微妙に異なる。元記事は、「The one attack deemed most serious」なので、「もっとも深刻と思われる攻撃の一つ」程度の意味だろうが、日本語訳では、少し場所を変えてはいるが「深刻なセキュリティ脅威トップ10では、DNSバインディングが1位となった」となっている。この訳は少し勇み足ではないか。
そう思って、WhiteHat Securityのホワイトペーパーを探したら、これもすぐに見つかった*1ホワイトペーパー類を集めているページの冒頭にプレゼンテーション資料のPDFが置いてあった。
プレゼンテーション資料を読むと、上記の印象が正しかったことが分かった。このプレゼンテーション資料はRSA Conference 2010にて発表された資料のようだが、セキュリティ脅威トップ10を発表するにあたり、10位から1位の順に並んでいた(トップ10を発表する際の常套手段だ)。DNSバインディング攻撃は、プレゼンテーション資料の先頭、すなわち全体の10位なのだ。そして、このプレゼンテーション資料の末尾には、トップ10の一覧表がある。

このスライドからも分かるように、DNSバインディングはトップ10の末尾であることがわかる。誤報というのはこのことで、元々10位に位置づけられていた脅威を、スライドの先頭にあるという理由からか、Network Worldはこの脅威だけを取り上げ、computerworld.jpが翻訳する際に「1位」としてしまったようだ。
ところで、このプレゼンテーション資料では過去のトップ10にも言及がある。2007年のトップ10には、7位にDNSバインディングが登場する*2

従って、DNSバインディングはセキュリティ脅威トップ10に再登場であるわけだが、再び取り上げたからには、新しい脅威が発見されたのだろうか。
そのような目でスライドを見直すと、DNSバインディングによるセッション・フィクセーション攻撃のスライドが紹介されている。DNSバインディングの脅威は、通常内部ネットワークやブラウザの稼働するPC自体への攻撃が知られているが、セッション・フィクセーションを併用する場合は、インターネット上のサイトを攻撃できる。

このスライドで説明している攻撃手順は以下のようなものであると思われる。

  1. 攻撃者は、標的サイトにログインしてセッションCookieを記録する
  2. 攻撃者はワナのサイトに設定して、被害者がアクセスした際に前項のセッションCookieをセットするようにする
  3. 被害者がワナサイトを閲覧する。セッションCookieがセットされる
  4. ワナサイトのドメインが示すIPアドレスが標的サイトのIPに切り替わる(DNSバインディング)
  5. 被害者を、標的サイトと偽ったリンクに誘導する。このリンクのURLはワナサイトのドメイン上にあるが、この段階では標的サイトのIPアドレスなので、被害者のブラウザ上には標的サイトが表示される
  6. 被害者は、攻撃者のアカウントでログインした状態になる
  7. 被害者は、攻撃者アカウントのままクレジットカード番号の入力などを行う

なんとなくトホホ感の漂う攻撃手順だ。ホンマカイナ。栄えあるRSA Conferenceで、本当にこれを発表したのだろうか。
しかし、この説明で辻褄が合うのだ。このスライドの次のページには、「Why is this useful?」というタイトルで以下のような説明がある。

Trick users into enrolling their credit card into an attacker's account. After which, the attacker can transact on the credit card. (i.e. Amazon or PayPal)

以下、徳丸による試訳。

ユーザーをだまして攻撃者のアカウントにユーザのクレジットカードを登録させる。その後、攻撃者はクレジットカードで取引を行うことができる(AmazonPayPalなど)

この種の攻撃が成功する場合もあるとは思う。しかし、被害者がAmazonPayPalのサイトを見ている際のドメインはワナサイトのままなのだ。そうでないと、DNSバインディングの意味がないし、ワナサイトで設定したCookieが有効にならない。それでもだまされるユーザはいるだろうが、サイトやブラウザの脆弱性というよりは、フィッシングの性格を持った攻撃だと思う。この程度の攻撃でよいのであれば、こんな手の込んだ手順を踏まなくても、標的サイトのリバースプロキシでも用意しておいて、本物そのままの画面を表示させ、ユーザのリクエストを見張っていれば、入力した内容は全て手に入る。その方が手っ取り早いし、攻撃の成果も大きい。
ここまで理解して、私は以下のように妄想した。このプレゼンを担当したJeremiah Grossman氏は、セキュリティ脅威を10個集めるのに苦労したのではないか。苦労したあげく、DNSバインディングの新しい脅威を担ぎ出したのではないか。そう感じるほどに、この攻撃手法にはトホホなものを感じたのだ。
しかし、DNSバインディングに脅威がないわけではない。日本では、「iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性」にて報告したように、ケータイサイトのかんたんログイン突破に悪用できるし、悪用できる状態だったサイトの例は、「ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された 」に報告した通りである。
また、古典的なDNSバインディング攻撃の脅威がなくなったわけでもない。あらためて手元のブラウザでDNS Pinning*3の状況を調べてみたが、ブラウザによって対応状況にばらつきがあり、ブラウザによってはDNSバインディング攻撃が行いやすい状況のようだ。内部ネットワークをDNSバインディング攻撃から守る手法については、現在まとめている最中なので別稿にて報告したい。
というわけで、「もっとも警戒すべき」かどうかはともかく、DNSバインディングが警戒すべき脅威であることは間違いない。読者のセキュリティ対策の参考になれば幸いである。

追記(2010/03/31)

検索エンジンにてタイトルが誤解を招きやすいとの判断からタイトルを修正しました

*1:英文の記事でもWhiteHat Securityのホワイトペーパー等へのリンクは見あたらない

*2:ちなみに、このスライドのURLを参照すると、DNSバインディングのリンクは、金床氏のDNSリバインディングのデモサイトを示していた

*3:DNSバインディング対策のため、ホスト名に対応するIPアドレスを一時的に固定する手法のこと