サーバキャッシュのウイルス混入とドメイン名の乗っ取りを防ぐ

サイバーセキュリティについては、フィッシング詐欺の危険性に詳しいかもしれませんが、ドメイン詐欺（pharming）の脅威を知っていますか。オンライン企業(yè)にとって、このリスクは致命的です！?
簡(jiǎn)単に言えば、ドメイン詐欺とは、もともとあるサイトにアクセスしようとしていたものを
ユーザーは知らないうちに、ある有名ブランドのオンラインストアにアクセスしようとしているなど、フィッシングサイトに乗っ取られ、ハッカーはドメイン詐欺の手段を通じて、偽のオンラインストアに連れて行くことができ、ユーザーのID情報(bào)やパスワードなどを収集することができます。
このような犯罪は、DNSサーバのキャッシュポインティング（cache poisoning）またはドメイン名ハイジャックによって一般的に実現(xiàn)される。この數(shù)ヶ月、ハッカーはこの攻撃方式の危害を人々に示してきた。今年3月、SANS Instituteは、ABC、American Express、Citi、Verizon Wirelessなど、1300の有名ブランドのドメイン名を方向転換するキャッシュポインティング攻撃を発見した。1月、Panixのドメイン名がオーストラリアのハッカーに乗っ取られた、4月、HushmailのメインドメインサーバのIPアドレスが、ハッカーによって亂造されたウェブサイトに接続されるように変更された。
ドメイン詐欺事件を追跡する統(tǒng)計(jì)データはまだありません。しかし、アンチウェブ詐欺ワーキンググループ（APWG）は、ドメイン詐欺を最近の仕事の重點(diǎn)任務(wù)に分類している。
専門家らは、キャッシュのウイルス混入やドメイン名乗っ取り問(wèn)題はすでに関連機(jī)関の重視を集めており、また、オンラインブランドの増加に伴い売上高が増加していることもさらに際立っており、詐欺師が間もなくこのハッカー技術(shù)を利用して大量のユーザーを騙し、貴重な個(gè)人情報(bào)を入手し、オンライン市場(chǎng)の混亂を引き起こすのではないかと懸念する理由があると述べている。
しかし、ドメイン詐欺は技術(shù)的にも組織的にも複雑に解決されています。しかし、現(xiàn)在の狀況では、企業(yè)のDNSサーバやドメイン名をドメイン詐欺師に操られないように保護(hù)するための措置を講じることができます。
苦境を打開する.
DNSセキュリティ問(wèn)題の根源は、Berkeley Internet Domain（BIND）にある。BINDは過(guò)去5年間に広く報(bào)道されたさまざまなセキュリティ問(wèn)題にあふれている。VeriSign社のKen Silva最高セキュリティ責(zé)任者は、BINDベースのDNSサーバを使用する場(chǎng)合は、DNS管理の最適な慣例に従ってくださいと述べています。
SANSのJohannes首席研究官は、「現(xiàn)在のDNSには根本的な問(wèn)題がいくつかあり、最も主要な措置はDNSサーバーを継続的に補(bǔ)修し、最新の狀態(tài)を維持することだ」と考えています。
Nominum社のチーフ?サイエンティストでDNSプロトコルの原作者であるPaul Mockapetris氏は、BIND 9.2.5にアップグレードするかDNSSecを?qū)g現(xiàn)することで、キャッシュの毒混入のリスクを解消すると述べた。ただし、Cisco、F 5 Networks、Lucent、NortelなどのベンダーのDNS管理デバイスから提供されているインタフェースがない場(chǎng)合、このような移行を完了するのは非常に困難で時(shí)間がかかります。Hushmailなどの企業(yè)では、BINDの代わりにオープンソースのTinyDNSを選択しています。DNSに代わるソフトウェアの選択には、Microsoft、PowerDNS、JH Software、その他のベンダーからの製品が含まれます。
どのDNSを使用するかにかかわらず、BlueCat NetworksのMichael Hyatt社長(zhǎng)が提供する次のベストプラクティスに従ってください。
1、異なるネットワーク上で分離したドメイン名サーバを?qū)g行して冗長(zhǎng)性を取得する。
2、外部ドメインサーバと內(nèi)部ドメインサーバを分離（BIND Viewsを物理的に分離または実行）し、トランスミッタ（forwarders）を使用する。外部ドメイン名サーバは、ほとんどのアドレスからのクエリを受け入れる必要がありますが、リピータは受け入れません。內(nèi)部アドレスからのクエリのみを受け入れるように構(gòu)成する必要があります。外部ドメイン名サーバ上の再帰機(jī)能を停止します（ルートサーバからDNSレコードを下に検索するプロセス）。これにより、インターネットに接続するDNSサーバを制限できます。
3、可能な場(chǎng)合、動(dòng)的DNS更新を制限する。
4、エリア転送を許可裝置に制限する。
5、トランザクション署名を用いてエリア転送とエリア更新にデジタル署名を行う。
6、サーバー上のBINDバージョンを非表示にします。
7、DNSサーバ上で実行されている不要なサービス（FTP、telnet、HTTPなど）を削除します。
8、ネットワーク周辺およびDNSサーバでファイアウォールサービスを使用する。アクセスをDNS機(jī)能に必要なポート/サービスに制限します。
登録業(yè)者に責(zé)任を負(fù)わせる
ドメイン欺瞞の問(wèn)題を組織的に解決することも重要な一環(huán)である。先日、ハッカー詐欺のカスタマーサービス擔(dān)當(dāng)者がHushmailのプライマリドメインサーバのIPアドレスを変更した。この時(shí)、Hushmail社のCTO Brian Smithは憤慨していたが、ハッカーがドメイン登録業(yè)者のカスタマーサービス擔(dān)當(dāng)者を簡(jiǎn)単に騙したことは確かに腹立たしい。
Smith氏は、「この件は私たちにとって本當(dāng)に最悪だ。登録業(yè)者がより良いセキュリティポリシーを制定し、公表するのを見たい。しかし、登録業(yè)者がそうすることは見つからず、この件が発生してから、私はずっとこのような登録業(yè)者を探していた」と話した。
Panix.comのアレックス?レジン社長(zhǎng)は、登録業(yè)者側(cè)の問(wèn)題で今年1月にPanixドメインが乗っ取られた際にも同様の強(qiáng)い不満を感じていた。まず、登録業(yè)者は事前に通知せずにドメイン登録を転売業(yè)者に売卻した。そして、この転売業(yè)者はドメイン名を社會(huì)工學(xué)者に移した--同様にResinにも通知しなかった。
Resin氏は「ドメイン名システムにはシステム的、根本的な改革が必要だ。今は多くの提案があるが、物事の進(jìn)展は十分ではない」と述べた。
市場(chǎng)需要とICANN指導(dǎo)層が登録業(yè)者に安全な移転政策を強(qiáng)要するのを待つには、まだ時(shí)間がかかるだろう。そこで、Resin、Smith、ICANNのTim Coleチーフレジストラ連絡(luò)官は、次のようなリスク削減の提案を行いました。
1、登録業(yè)者に書面で実行可能な政策聲明を出すように要求します。ドメイン名を移行する必要がある場(chǎng)合は、速やかに連絡(luò)する必要がある條項(xiàng)を書面に記載します。
2、ドメイン名をロックして、登録業(yè)者がロック解除されたパスワードやその他の身分証明書を取得する必要がありますか？script src=>