cNotes 検索 一覧 カテゴリ

IPv6でのフィッシングサイトへのアクセス

Published: 2008/09/05

個人的になんですがIPv4、IPv6のデュアル化した解析環境においてマルウェアや各種ブラックリストを解析することが多くなってます。そういった解析のなかで、たとえば被疑ドメインにAAAAレコードが登録されている場合にはIPv6アドレスが応答されるので、IPv6ネットワークに接続可能である環境では、IPv6網経由での接続が試みられます。DNSの利用の仕方によっては、AレコードとAAAAレコード両方の応答を受け付けることもあるため、その場合にはDNSラウンドロビンしてるかのようにv4、v6交互に接続されることもあります。

たとえば、フィッシング関連で利用されている下記URLについてみてみると。

 www.msn-new.atw.hu
 msnbeta.atw.hu
 sexmsn.atw.hu

これらのAAAA登録情報は、以下のようになっています。

 dig -t AAAA msnbeta.atw.hu
 
 ;; QUESTION SECTION:
 ;msnbeta.atw.hu.                        IN      AAAA
 
 ;; ANSWER SECTION:
 msnbeta.atw.hu.         3600    IN      AAAA    2a01:270::4
 
 ;; AUTHORITY SECTION:
 atw.hu.                 3591    IN      NS      ns1.atw.hu.
 atw.hu.                 3591    IN      NS      ns5.atw.hu.

IPv6のグローバル通信が可能な環境では、IPv6網経由で下図のようなサイトに接続されます。

まぁ、独自サーバーをIPv6グローバルで立ち上げているわけではなく、単にフィッシングサイトを構築したホスティングサービスがIPv6対応しているだけのことなのですが・・・

ちなみに今回の場合はハンガリーのホスティングサービス。

 domain:         atw.hu
 org:            org_name_eng: ATW Internet Ltd.
 org:            org_name_hun: ATW Internet Kft.
 address:        HU

最初に書いたフィッシング用のURLはすべて同じIPv6が応答されますので、ありがちなネームベースのバーチャルホスティングサービスです。

最近では、スパム、フィッシング、マルウェア感染等は、一般の有料/無料ホスティングサービスが利用される場合が多いので、利用するホスティングサービスのIPv6対応にしたがって結果的に、これらの行為のIPv6対応が進んでいることになります。

なかなか普通の人には理解しにくいv6の環境においては、知らないうちにIPv6網経由でこのようなサイトにアクセスする可能性があるのは問題だと思います。IPv6ベースでのセキュリティ対策というものが装置的、技術的において、またブラックリストやウィルスチェックソフト、パーソナルファイアウォールなどにおいて、そして人の知識、経験においてどれだけ実効性のあるレベルになっているかが疑問ですのでこのような意図しないIPv6網経由での通信の発生はセキュリティ対策の盲点になる可能性が高いんじゃないかと思っているわけです。IPv6ネイティブでも難しいでしょうし、トンネリングで利用している場合も多いわけですから、対策の抜け道が多いんじゃないかと。技術的状況は後で調査。

それにしても一般のインターネットサービスがなかなかシームレスなIPv6への移行ができそうになく大変なんですが、このフィッシングやマルウェア感染サイトなどの状況をみると以外にうまくいきそうに見えてしまうのがおもしろいです。

で、繰り返しになりますが、懸念点をまとめるとこんな感じ。

  • v4/v6デュアル環境では、知らないうちにIPv6経由で悪意のサイトへアクセスする可能性がある
  • v6ネイティブな環境でも、フィッシングサイト、悪意のサイトへのアクセスする可能性がある
  • IPv6環境おいてはフィルタリング等の適切な対策が行われていない可能性がある。

要は新しいサービス、新しいプロトコルが登場すると、ほぼ100%、セキュリティ的に考慮不足、機能不足であるのでそこが狙い目になるという歴史の繰り返しなんでしょう。

ただ、今現在は、攻撃者にとってIPv6はまだまだ使い物になる対象としては見てもらえてないようで、現状、IPv6用の仕掛けでは目だったスキャン活動も攻撃も観測されてません。個人的には、明らかにIPv6網経由の通信に対しての対策に欠陥のあるサーバーがたくさん存在するように見えているのでいい狙い目にされるのではないかと思っていますが。

攻撃状況の増加≒一般の人々の間でもIPv6がまともに使われるようになった、と見ることができるので、状況の変化には非常に興味があります。

話はそれてしまいますが、個人的には、最近話題として登場しているIPv6は捨てて、使い物になるあたらしいIPを作ろうという話に賛成ではありますが…

[カテゴリ:IPv6観察日記]

by jyake