Enterprise

企業

2018.11.15 投稿者: ブログチーム

一部ルータに管理者以外がプロキシを設定できる問題 – 盗聴や改ざんのおそれ(2)

一部ルータに管理者以外がプロキシを設定できる問題 – 盗聴や改ざんのおそれ(2)

“一部ルータにおいて、DHCPリクエストを受けたクライアントのホスト名を、DNSに自動登録する問題が指摘されている。同機能によって悪意あるプロキシやルータが設定され、通信の盗聴や改ざんに利用されるおそれがある。”
(「一部ルータに管理者以外がプロキシを設定できる問題 – 盗聴や改ざんのおそれ」 2018年9月14日 Security Next)

前回、脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)のレポートから、一部ルータで管理者以外がプロキシを設定できる問題があり、情報セキュリティ上のリスクになる可能性があることを紹介しました。

対象になっているDNSの動的登録・更新機能がオンになっているルータでは、DHCPリクエストでクライアント側から送られてくるホスト名が、そのままDNSのAレコードへ自動的に登録、更新されるようになっています。

そのため、本来管理者が設定する「wpad」「isatap」などのホストをルータのDNSに登録できるようになっています。

レポートでは影響を受ける製品として「Google WiFi」「Ubiquiti UniFi」など、家庭やオフィスで利用される一般的なルータと紹介されており、注意を呼びかけています。アライドテレシスは同問題について該当製品無しとの報告を受けています。

この問題への対策として以下が考えられます。

  • ルータが “wpad” や “isatap” といった特定のホスト名を DNS に自動登録しないように設定する
  • mDNS を WPAD と組み合わせて用いない

ルータやスイッチは企業ネットワークを支える心臓部です。アライドテレシスは、重要な企業ネットワークを安心してご利用いただけるよう、これからも安全な通信ネットワークの構築に向けて取り組んで参ります。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top