ルーター脆弱性攻撃とhttps

今年の3月ごろからインターネットルーターが外部から攻撃され、DNS情報が書き換えられてしまうという攻撃が国内でも発生しています。いまのところ具体的な対処方法はないようです。

書き換えられてしまうDNS情報とは何かと言うと、例を挙げれば、ブラウザのでWEBアドレスを入力するとき、www.sys-cube.co.jpと入力すると、DNSは49.212.から始まるグローバルIPアドレスを指すものであると指定します。そうすることでブラウザは指定のIPアドレスのサーバーに対してリクエストを送り、WEBサイトが表示されます。

このようにドメイン名からIPアドレスを解決するためのシステムがDNSです。

インターネットルーターもこのDNSの機能をもつのですが、冒頭に挙げた外部からルーターの脆弱性をつき、DNSの情報を書き換えてしまう攻撃が今年になって発生しています。

この場合、接続先がSSLによりhttpsアドレスとなっている時、指定したアドレスがDNS書き換えによって別のサーバーに接続した場合は、ブラウザで証明書のアンマッチが判断され、危険なサイトとして通信をブロックすることが可能です。

まずDNS書き換えの脆弱性を取り除くことが必要ですが、DNSによるIPアドレスの指定が書き換えられている可能性は様々なところであります。

不特定多数が利用するフリーWi-Fiなどでルーターが意図的に書き換えられたDNS情報を保持している場合などもあり、利用者を特定のサーバーに誘導することなども危険性としては十分あり得ます。

このような場合もDNSの情報によらず証明書情報のアンマッチは検出ができるため、例えばFacebookに偽装されたサイトなどへの誘導は不可能に近いです。

Googleはこのようなサイトの安全性や、DNS情報によらず接続先サーバの安全を確かめることができることなどからhttpsサイトの切り替えを重要視しているのではないかと筆者は考えています。

httpsでないことが安全ではないとは言い切れはしないのですが、何かをダウンロードしたり情報を入力するような場合はhttpsであることはユーザーの安全性を確保するものになります。