「キャッシュポイズニング」について教えてください

お世話になります。兄のウェブサイト(「abc.com」と仮定)の管理をしています。片田舎の個人経営のお店のサイトで、ショッピング機能、データベース、メールフォームなどは積んでいない、htmlとjavaとcssだけのとてもシンプルなサイトです。

数日前に、Googleの検索結果に出た「abc.com」へのリンクをクリックすると、全く無関係な"怪しい"サイトにリダイレクトされてしまう、とお客さんから苦情があり、何をどうしたらいいのか分からず、キャッシュポイズニング? → DNS? という発想で、レンタルサーバのホスティング会社に相談したところ、折り返し連絡をいただけるとこのことなので、現在その連絡待ちです。

質問１．慌てて、サーバ屋さんに相談してしまいましたが、「キャッシュ」であれば、相談先はISPですか？こういうときは、どこに相談すれば問題の解決につながりますか？

質問2．「キャッシュポイズニング」というのは、毒入れされたサーバのDNSキャッシュでサイトを見るとリダイレクトされる→ファーミングという理解なんですが、この理解の仕方は妥当ですか？

ネットで色々調べて、Cross-Pollination Check(IANA)とWeb-based DNS Randomness Testというのに遭遇したので早速試してみたところ、前者では[Safe]と出て、後者では「Great」と出たので、恐る恐る、自宅のPCからgoogle検索してアクセスしたところ、問題なくアクセスできました(と思います…リダイレクトされませんでした)。　　

質問3. これは、サーバ屋さんが早速対応してくれた、ということなのでしょうか(相談後24時間以内)？それとも、兄のPC(お客さんの社内LAN?)が辿っているところのDNSキャッシュが書き換えられている、ということなのでしょうか？もし、後者であれば、googleからabc.comにアクセスするお客さんの全員がリダイレクトされてしまう、ということではなく、その人の問い合わせ経路(ISP?)によるということですか？

質問4．一度この被害を受けたら、abc.comというアドレスを使い続けるのは危険ですか(また同じ被害に遭う可能性が高くなりますか？) 新しいアドレスを取って、サーバを乗り換た方がよいのでしょうか？

同じような経験をされた方、専門家の方、ご教授のほど宜しくお願いいたします

No.2 回答者： kuroizell 回答日時： 2008/09/02 13:27

質問１

サーバ屋さんでOKだと思います。

質問２
正確には、「サイトを見に行くときに参照するDNSのキャッシュが毒入りだと」
という表現になるのかな？
基本合ってます。
ちなみに
Cross-Pollination Check(IANA)　→　ドメイン（サイト）の安全性
Web-based DNS Randomness Test　→　自分が使っているISPの安全性

質問３
両方考えられますね。
お客さんにもWeb-based DNS Randomness Testしてもらった方がいいでしょう。

#それ以前にウィルス対策はちゃんとされているのか・・・・・

質問４
この脆弱性は電車(abc.com)ではなく、線路の分岐器(DNSサーバ)を狙ったものです。
電車を乗り換えても、分岐器がやられてたら同じ結果です。

サーバ屋がやられた事が原因なら、しっかりしたサーバ屋に乗り換える方がいいかもしれませんが・・・

この回答へのお礼

早速ご回答いただいたのに、お礼が遅くなってすみません。
電車と線路と分岐器という風に置き換えて考えすると、わかりやすいですね。勉強になりました。近々、ドメインの更新をしなければならないので、これを機にサーバ屋さんを乗り換えようと思います。ありがとうございました。

お礼日時：2008/09/04 11:49

No.1 ベストアンサー 回答者： jjon-com 回答日時： 2008/09/02 13:14

質問2．その理解で正しいでしょう。

質問1．DNSサーバの問題であるなら，ドメイン名abc.comが登録されているDNSの管理者，および，異常が生じたPCが契約使用しているISP，に問い合わせることになるでしょう。

質問4．そのドメイン名を使い続けて問題ないでしょう。DNSサーバの脆弱性を突かれたのであれば，abc.com以外のドメイン名でも同じように異常が起こりえます。脆弱性が修正されたのであれば，abc.comも含めてどのドメイン名でも正常にIPアドレスが返されます。

で，残った問題点は，質問者はDNSキャッシュポイゾニングと決めてかかっているようですけれど，本当にそうなのですか？ という点です。

「お客さんから苦情があり」とのことですが，何名の顧客から苦情がありましたか。DNSキャッシュポイゾニングが原因であるなら，そのDNSサーバを利用している複数のユーザから広く異常報告がみられるはずです。

「自宅のPCから…問題なくアクセスできました」とのことですが，ISPのDNSサーバが原因であったなら，顧客のISPと質問者のISPが違う場合は同じ異常が発生しません。

もしも苦情報告を寄せた顧客が１～２名であるのなら，DNS（サーバ）キャッシュポイゾニング，ではなく，
DNSクライアント側のリゾルバキャッシュポイゾニング，あるいは，hostsファイルポイゾニングの可能性の方がありえます。
http://okwave.jp/qa4282184.html の過去の私の回答 ANo.2
http://okwave.jp/qa4268488.html の過去の私の回答 ANo.5

簡単に言うなら，DNSサーバの問題ではなく，顧客のPCが悪意あるプログラムに感染した可能性はないのですか？ ということです。

この回答へのお礼

早速ご回答いただいたのに、お礼が遅くなってすみません。お蔭様で、いままでリダイレクトされていた兄のPCからでも正規のサイトにいけるようになりました（お客さんとの確認はまだ取れていませんが。）
ポイズニングといっても発症源が異なると呼び方も変わってくるのですね、確かに、DNSキャッシュポイゾニングと決めてかかるのはDNSに失礼ですね…。過去のご回答も勉強になりました。
ありがとうございました。

お礼日時：2008/09/04 12:00