BIND 9やDHCPなどの提供するInternet Systems ConsortiumのWebサイトにマルウェアが仕掛けられた可能性がある。 DNSソフトのBIND 9やDHCPなどインターネットの中核となるソフトウェアを提供する米Internet Systems Consortium(ISC)のWebサイトが12月25日現在、メンテナンスモードになっている。ISCは「マルウェアに感染した可能性がある」として、ISCサイトへアクセスした全てのコンピュータでマルウェアスキャンを実施してほしいと呼び掛けている。 事態の詳細は不明だが、ISCがWebサイトを閉鎖したのは米国時間の22日から23日頃とみられ、マルウェアの駆除や感染の影響調査などの対応にあたっているもようだ。 米セキュリティ企業のCyphortによると、ISCのWebサイトが何らかの方法で閲覧者をマルウェア配布サイトに誘導するよ
--------------------------------------------------------------------- ■(緊急)複数のDNSソフトウェアにおける脆弱性(システム資源の過度な消費) について(2014年12月9日公開) - BIND 9では権威DNSサーバーにも限定的に影響、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/12/09(Tue) 最終更新 2014/12/25(Thu) (米国The CERT Divisionの注意喚起・Vendor Informationへのリンクを追加) --------------------------------------------------------------------- ▼概要 BIND 9・Unbound・PowerDNS Recursorを含む複
ドメイン名ハイジャックがマルウェア感染サイトへの誘導に悪用、国内組織の「.com」で被害発生:対策は脆弱性対応やアカウント管理、書き換えに「気付く」手段の併用も 2014年9月から10月にかけて、ドメイン名登録情報の不正な書き換えによる「ドメイン名ハイジャック」が発生し、当該サイトにアクセスしたユーザーがマルウェア配布を試みる不正なサイトに誘導される事態が発生していたとし、JPCERT/CCやJPRSが注意を呼び掛けている。 2014年9月から10月にかけて、ドメイン名登録情報の不正な書き換えによる「ドメイン名ハイジャック」が発生し、当該サイトにアクセスしたユーザーが、それと知らずにマルウェア配布を試みる不正なサイトに誘導される事態が発生していた。国内組織が利用している複数の「.com」ドメインで被害が確認されたといい、JPCERTコーディネーションセンター(JPCERT/CC)や日本レジ
はてなブックマークボタンを設置したサイトの一部に対するセキュリティ上の警告について、10月18日に本ブログでお知らせしました。その後の経過について報告いたします。 はてなブックマークボタンを設置したサイトの一部に対し、はてなブックマークボタンが原因とされるセキュリティ上の警告が報告された件に関して、はてなでは10月15日より調査を開始し、これまでに以下の4点を確認しています。 はてなのサーバーに対する攻撃者の侵入はない はてなとレジストラの間の認証情報(アカウント)は悪用されていない 権威DNSサーバーに対する攻撃ではない はてなが契約するCDNサービスに対する攻撃ではない また、上記の問題について、10月20日に一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)よりドメイン登録情報の変更に関する情報が寄せられ、はてなでもJPCERT/CCなど関係機関に協力して調査を
各位 JPCERT-AT-2014-0044 JPCERT/CC 2014-11-05 <<< JPCERT/CC Alert 2014-11-05 >>> 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140044.html I. 概要 JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正 に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン 名ハイジャックのインシデント報告を複数受領しています。 ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名 ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧す る際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意 したサーバに接続していたこと
--------------------------------------------------------------------- ■(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策 について(2015年5月26日更新) 株式会社日本レジストリサービス(JPRS) 初版作成 2014/11/05(Wed) 最終更新 2015/05/26(Tue) (JPドメイン名におけるレジストリロックサービスの提供を反映) --------------------------------------------------------------------- ▼概要 JPRSでは2014年9月から10月にかけ、国内の組織が運用する複数の.comサイ トが、ドメイン名の登録情報の不正書き換えによるドメイン名ハイジャック の被害を受けたという情報を入手しました。この攻撃手法では
2014年11月5日にJPCERT/CC、JPRSがドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。 注意喚起・対策 JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 JPRS (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開) JPRS (PDF) 補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について JPNIC IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起 タイムライン 日付 出来事 9月第1週 Volexityが日経で不正なサイトへの接続を確認。 10月9日 VolexityがBlog記事を公開。 10月15日
--------------------------------------------------------------------- ■(緊急)BIND 9.10.xの脆弱性(DNSサービスの停止)について(2014年6月12日公開) - キャッシュ/権威DNSサーバーの双方が対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2014/06/12(Thu) --------------------------------------------------------------------- ▼概要 BIND 9.10.xにおける実装上の不具合により、namedに対する外部からのサー ビス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されまし た。本脆弱性により、提供者が意図しないサービスの停止が発生する可能性 があります。
日本ネットワークインフォメーションセンター(JPNIC)は6月9日、トップレベルドメイン(gTLD)の急増に伴い、DNSで「名前衝突」と呼ばれるセキュリティリスクが広範囲に発生する可能性があるとし、注意を呼びかけている。 ICANNは昨年10月から新gTLDを委任を開始しており、国内では「.tokyo」「.nagoya」「.みんな」などの新gTLDの運営がスタート。世界で1300を超える新gTLDが追加される予定だ。 名前衝突とは、「既存のgTDLには存在しないため問題ない」として組織内ネットワークなどで利用されていたドメイン名が、新たにgTLDとして追加されたドメイン名と同じ文字列だった場合、内部ネットワークで閉じていた通信が意図せずパブリックなDNSに到達したり、その逆が起きたりし、サービスが利用できなくなったり、情報が漏えいする──といった問題だ。 JPNICは「新gTLD大量導入に
2014年6月9日 各位 一般社団法人日本ネットワークインフォメーションセンター 内部システムで利用しているドメイン名にご注意! ~名前衝突(Name Collision)問題の周知と対策実施のお願い~ 本件に関連するプレスリリース 今年2014年1月にJPNICからもお伝えした通り(※1)、 ドメイン名などのインターネット資源をグローバルに調整するICANN (The Internet Corporation for Assigned Names and Numbers)によって、 2013年10月から1,300を超える新たなgTLDの委任が順次開始され(※2)、 今後、 インターネット上で多くのTLDが使われ始めることになります。 これにより、 DNSにおける「名前衝突」と呼ばれるセキュリティリスクが、 一般的なユーザーをはじめとする広範囲に発生する可能性が指摘されています。 (※1)
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 権威サーバを新しく ns[1-3].x.recruit.co.jp に切り換えたようですが応答しません。そもそもゾーンが設定されていないのではないでしょうか。 なお、今も (注:復旧前) 見えていて、利用している DNS キャッシュサーバが BIND だったりすると幽霊ドメイン名脆弱性を抱えている可能性があります。OCN や 8.8.8.8 で見えているのは別な理由だと思います。(委譲元の TTL で古い NS をキャッシュしているのでしょう) (10:27 追記: ゾーンが設定され、引けるようになったようですが、旧サーバのゾーンデータは古いままなので、幽霊は漂い続け
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか:管理者、そしてユーザーにできる対策は?(1/2 ページ) 日本レジストリサービス(JPRS)は2014年4月15日に、「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急注意喚起を公開した。この文書の背景とDNSサーバーに求められるセキュリティ対策について、JPRSに聞いた。 2014年4月15日、日本レジストリサービス(JPRS)が「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急の注意喚起を公開した(関連記事)。この注意喚起の意味するところは幾つか考えられるが、最も重要なのは、今もなお10%程度残っていると発表された危険なキャッシュDNSサーバーの存在であろう。 今も残っている危険なキャッシュDNSサーバー 今回公開された注意喚起は、
2014年4月15日に公開されたJPRSの緊急注意喚起に続き、中京大学の鈴木常彦教授によるDNSキャッシュポイズニングに関する技術情報が公開されました。 今回公開された技術情報に書かれている内容には、DNSの本質につながるさまざまな要素が関係しており一回で書ききれるものではなく、また、書いている側(私)も、それぞれの要素技術について勉強しながら理解しつつ進めていかないと混乱してしまうということが良くわかったため、これから数回に分けて徐々に書いて行くことにしました。 ということで、今回はまず、そもそもDNSキャッシュポイズニングとは何かということと、JPRSの注意喚起に書かれているUDPソースポート番号のランダム化(ソースポートランダマイゼーション)の概要、そしてなぜそれが重要なのかという点について解説します。 DNSキャッシュポイズニングとは インターネットで通信を行うとき、各機器同士は通
キャッシュポイズニング攻撃によるアクセス増加、JPRSが注意喚起:「ポートのランダム化」などの対策を強く推奨 日本レジストリサービスは2014年4月15日、日本の大手ISPにおいて、「カミンスキーアタック」によると思われるアクセスが増加していることを踏まえ、ソースポートのランダム化などのキャッシュポイズニング攻撃対策を取るよう注意を呼び掛けた。 日本レジストリサービス(JPRS)は2014年4月15日、日本の大手インターネットサービスプロバイダー(ISP)において、「カミンスキーアタック」によると思われるアクセスが増加しているとの報告を受けたことを明らかにした。 JPRSではこの事態を踏まえ、DNSサーバーの設定を再確認し、問い合わせUDPポートのランダム化(Source Port Randomization)を有効にする対策を取るよう推奨している。 カミンスキーアタックは、2008年夏に
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 本日、JPRS がようやく重い腰をあげて注意喚起を発してくれましたが、その内容は危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません。 一方で注意深い攻撃者が探せば、ネット上にはすでに深刻な攻撃を行うのに必要な情報は十分に流れています。特に、JPRS が3月に慌てて co.jp などにこっそり入れた署名付き TXT レコードは大きなヒントに見えます。 DNS に詳しい攻撃者であれば、攻撃手法に辿りつくのは時間の問題でしょう。(すでに攻撃は行われているかも知れません) 長く秘密にしておくことは得策ではないと判断し、防御する側の心構えと手助けにし
4月4日に「Internet Watch」が伝えたようにインターネット上の2,400万台を越える家庭用ルーターがDDoS攻撃に悪用可能な状態になっているという調査結果が米Noiminumにより公表されました。 2400万台の家庭用ルーターがDNSベースのDDoS攻撃に悪用可能、Nominum調査 -INTERNET Watch Nominumが実施した調査では、インターネット上の2400万台を超える家庭用ルーターがオープンDNSプロキシーとなっており、これが原因となってISPがDNSベースのDDoS攻撃にさらされているという。 ただ、「DDoS攻撃に悪用されるかもしれない」と言われても、家庭に設置しているルータが悪用されているのかどうかを一般の方が調べるのは難しいのではないでしょうか? そこで、誰でも簡単に悪用の可能性がないかどうかを調べることができる「オープンリゾルバ確認サイト」とその手
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く