Tweet

「localhost からの攻撃」の読みかた

昨日の「localhost からの攻撃」の話を,いろんな人にしてみた. 総じて「何か反応が薄いなぁ」という感想.

まぁ,どこまで想像(or妄想)を膨らませるか,というのもあるのだけれど. まず,事実としては

  • ベトナムのネームサーバが localhost となる逆引き DNS 情報をアナウンスしている
  • その逆引きが localhost となる複数のアドレスから類似のコメントスパムがある.botnet の支配下にあると見ていいだろう.

というところ.

この2つの事実の組み合わせから想像できるストーリーとしては

  • ベトナムのネームサーバが localhost となる逆引き DNS 情報をアナウンスしている
    • 単なるネームサーバの設定ミスであり,botnet とは無関係
    • botnet のコメントスパムの攻撃者の仕業であり,敵は既に DNS 汚染の手口(逆引きに限るけど)が使用できる
  • botnet は
    • せいぜいコメントスパムを発信し続けているぐらいの活動しかしていない
    • ネームサーバの逆引き(localhost)を利用したアタックをしている(or画策している)
    • DNS 汚染を利用した,更に積極的なアタック(localhost に限らない)をしている(or画策している)

あと,スタンスとしては

  • 自分のコンピュータ
    • オレの管理下にあるコンピュータはそんな逆引きの影響は受けない
    • オレの管理下にあるコンピュータはおそらくそんな逆引きの影響は受けないと信じているが,確証はない
    • 今ひとつ自信がないから確認しよう
  • 他人のコンピュータ
    • そんなの知ったこっちゃない
    • 逆引きを信用するなんてマヌケなプログラムを作ってる(or使ってる)やつなんかいないだろう
    • 逆引きを信用しているがためにセキュリティホールが生じているようなプログラムは,きっとあるに違いない
    • きっとあるに違いないので大々的に取り上げて,この問題を啓蒙すべきである

DNS 逆引きの偽情報に関しては

逆引きして得た名前を順引きして,同じ IP に戻るか

ということでチェックできるそうである. これについても

  • DNS 逆引き脆弱性を持ったプログラムは,今後根絶されるだろう
  • スタックオーバーフロー脆弱性のように「わかってるけど絶滅できない」類のものになる

これらの順列組み合わせ(独立してないけど)で,いろんな状況が考えられる. まぁ,妄想したらキリがないんだけれど,こういうあたりは,自分の感触よりも少々悲観的なストーリーを採用しといたほうがいいのではないかと思う. 過去には「2000年問題」なんてのもあったけど

「あんなのどうってことない」とタカをくくってエライ目にあう

よりは

「これはエライこっちゃ」と騒いで対策して,結局たいしたことなかった

というほうが幸せなわけで.


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-01-29 (火) 08:27:41 (4380d)