公開日:2016/05/24 最終更新日:2016/05/24

JVNTA#91048063
WPAD と名前衝突の問題

概要

Web Proxy Auto-Discovery (WPAD) に関する DNS クエリが社内ネットワークで解決されずに、インターネット上のネームサーバに送られる状況が観測されています。新 gTLD プログラムが開始され新たな gTLD が新設されていることから、WPAD に関する DNS クエリが外部に漏れることで名前衝突の問題が発生する可能性があります。

第三者が、関連するドメイン名の登録と WPAD に関する応答を行う環境を用意することにより、中間者攻撃 (Man-In-The-Middle attack) が行われる可能性があります。

影響を受けるシステム

Windows、OS X、Linux システム、WPAD 対応が有効になっている web ブラウザ

詳細情報

WPAD は、社内ネットワーク上のシステムにプロキシ設定を配布するためのプロトコルです。ネットワークに接続するデバイスを個別に設定しなくても、WPAD が有効になっていれば、一定の規則に従って自動的にネットワーク上のプロキシ設定ファイルにアクセスします。

Windows システムや Internet Explorer では、初期設定で WPAD の使用が有効になっています。Mac や Linux システムでは、Safari、Chrome、Firefox は WPAD に対応していますが、初期設定では無効になっています。

新 gTLD プログラムが開始され、新たな gTLD の新設が行われています。社内ネットワークでこのような gTLD が独自に使われていた場合、一定の条件のもとで(例えば社内ネットワークで使われていた PC を自宅に持ち帰ってインターネット環境に接続したり、社外に移動してインターネット環境に接続するなど)、WPAD に関する DNS クエリがインターネット上の DNS サーバに送られてしまうことがあります。
このような DNS クエリ「漏れ」が発生している場合、第三者が、該当ドメインのドメイン登録と DNS クエリに対して応答する環境を用意することにより、中間者攻撃 (Man-In-The-Middle attack) を行う可能性があります。

想定される影響

WPAD に関する DNS クエリが外部に送信されている場合、第三者によって中間者攻撃 (Man-In-The-Middle attack) が行われる可能性があります。

対策方法

US-CERT は以下の事項について検討することを推奨しています。

  • 社内ネットワークで WPAD 機能を使用しない場合、デバイス設定時に WPAD を無効にする
  • 社内ネットワークで使用するシステムのホスト名についても、インターネット上の DNS を起点とする FQDN を使用する
  • 社内ネットワークで使用している独自 TLD に関するクエリは社内のネームサーバで適切に応答する
  • wpad.dat ファイルの取得リクエストが社外に送信されないよう、ファイアウォールやプロキシを設定し、ログを監視する
  • WPAD に関してどのようなトラフィックが発生するかを確認し、可能であれば関連する DNS ドメインを登録・管理する
  • 名前衝突により重大な問題が発生する場合、ICANN に報告する (https://forms.icann.org/en/help/name-collision/report-problems)

ベンダ情報

参考情報

  1. 2016 IEEE Symposium on Security and Privacy
    MitM Attack by Name Collision: Cause Analysis and Vulnerability Assessment in the New gTLD Era
  2. ICANN
    Name Collision Resources & Information
  3. ICANN new gTLDs
    About the Program
  4. US-CERT Alert (TA15-240A)
    Controlling Outbound DNS Access
  5. Verisign Technology News
    WPAD Name Collision Vulnerability
  6. Verisign White Paper
    ENTERPRISE REMEDIATION FOR WPAD NAME COLLISION VULNERABILITY

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA16-144A)
WPAD Name Collision Vulnerability
CPNI Advisory
TRnotes
CVE
JVN iPedia