「DNS脆弱性、発見者の意図に反して詳細が明らかになった事情:ニュース - CNET Japan」という気になる記事がありました。数週間前に話題になっていたDNSの脆弱性を攻撃するためのコードがネット上に出回っているようです。

(つーか普通にCNETの記事からリンクされている。使い方はよくわかりません。)

まず「DNS」というのはインターネットのドメインからIPアドレスを引くための仕組みです。たとえば「www.yahoo.co.jp」というドメインをDNSサーバに問い合わせると、

;; ANSWER SECTION:
www.yahoo.co.jp.	217	IN	A	124.83.139.192
www.yahoo.co.jp.	217	IN	A	124.83.147.202
www.yahoo.co.jp.	217	IN	A	124.83.147.203
www.yahoo.co.jp.	217	IN	A	124.83.147.204
www.yahoo.co.jp.	217	IN	A	124.83.147.205
www.yahoo.co.jp.	217	IN	A	124.83.167.212
www.yahoo.co.jp.	217	IN	A	203.216.227.176
www.yahoo.co.jp.	217	IN	A	203.216.235.154
www.yahoo.co.jp.	217	IN	A	203.216.235.201
www.yahoo.co.jp.	217	IN	A	203.216.243.218
www.yahoo.co.jp.	217	IN	A	203.216.247.225
www.yahoo.co.jp.	217	IN	A	203.216.247.249
www.yahoo.co.jp.	217	IN	A	124.83.139.191

このようにIPアドレスが返されてきます。

問題になっているDNSキャッシュ汚染というのは、この問い合わせ結果(普段はキャッシュされている)が改竄されてまったく違うIPアドレスが返されてくる問題だと理解しています。「www.yahoo.co.jp」に対するIPアドレスの問い合わせ結果が上記とまったく異なるもので、そのIPアドレスで偽のヤフーのフィッシングサイトが開設されていたら、見事にフィッシング完了というわけです。

そういう脆弱性の存在が確認され、各ベンダーが今月9日にその脆弱性を修正するためのパッチをリリースしたわけですが、冒頭の記事に「修正におよそ30日かかるとみていた」とあるように、規模の大きいISPなどでは対応に時間のかかる問題のようで、まだ対応できていないDNSサーバもあるようです。

さて、記事によると自分の使っているDNSサーバが脆弱かどうかを確認できるツールが、脆弱性の発見者のサイトで公開されています。

「DoxPara Research」のサイドバーにある「DNS CHECKER」がそれで、「Check My DNS」というラベルのボタンがあると思うので、それをクリックすれば結果がわかります。

早速私もチェックしてみました。

↑ えーっと、appears valunerableって、ちょw脆弱じゃんww

このように、あなたの利用しているDNSサーバが脆弱かどうかをチェックすることができます。はい。

また、「yebo blog: DNSにキャッシュ汚染を引き起こす深刻な問題が見付かり、BINDが緊急リリース」では別のチェック方法も紹介されています。MacやLinuxを使っている人は「dig +short porttest.dns-oarc.net TXT」というdigコマンドでチェックできるようです。この方法でも同様に脆弱という結果が出ました。。

というわけで、OCNさん早急によろしくお願いします。