月曜日[2011年4月4日]に説明した中間者(MITM)攻撃は、Windowsの最新バージョンを利用して、次世代IPプロトコルIPv6に基づくネットワークとの通信を簡素化します。 Mac OS Xを搭載したコンピューターに対して同様の攻撃を行うことができますが、実際の確認はまだありません。 この声明は、InfoSec Institute for Information SecurityのCEO、Jack Koziolによって表明されています。
この攻撃は、 ステートレスアドレス自動構成 (SLAAC)と呼ばれる脆弱性を悪用します。この脆弱性により、クライアントとホストはIPv6ネットワーク上でお互いを見つけることができます。 このアドレッシング(IPv6)が有効になっている場合、デフォルトでOS X、Windows Vista、Windows 7、およびServer 2008に実装されているため、SLAACを使用して不正なIPv6ネットワークを作成でき、攻撃者によって制御されている機器を介してトラフィックをリダイレクトできます。
Jack Koziolが述べたように、「このような攻撃が発生すると、Windowsマシンは正しいルーターではなく、「悪い」ルーターに接続します。 マイクロソフトがデフォルトでこのオプションを有効にしなかった場合、この攻撃の悪影響のほとんどは回避できたでしょう。
InfoSec Alec Waters Instituteの研究者からのデータに基づく攻撃の可能性を確認することは、ユーザーがプロトコルの自動操作にまったく影響を与えず、不正なIPv6ネットワークに接続するときに警告を受け取らないことを示唆しています。
システムが新しい通信プロトコルを使用するように構成されているため、この攻撃が機能します。 IPv6機器がIPv4ネットワークに不正に接続されると、コンピューターは標準ゲートウェイを経由せず、トラフィックをルーティングし始めます。 言い換えれば、攻撃はシステムのデフォルトの動作を使用し、可能な場合は常にプロトコルの新しいバージョンを使用します。
Jack Koziolによると、Linux、FreeBSDおよびその他のオペレーティングシステムは、デフォルト設定ではこの攻撃の影響を受けません。
ネットワークトラフィックを盗むこの手法は、アドレス解決プロトコル(ARP)に関連して理論的に長い間知られています。 Jack Koziolによると、ARPに対する攻撃を特定して排除するためのツールは数多くありますが、今日のSLAAC攻撃をプロファイルすることはほとんどありません。 さらに、WindowsおよびOS Xの新しいバージョンの急増により、このような攻撃はますます多くのマシンで効果的に機能します。
もちろん、攻撃者はネットワークに適切なハードウェアをインストールする必要があります。 しかし、インサイダー攻撃にさらされているネットワークでは、WindowsまたはOS Xを使用すると可能になりますが、以前は不可能でした。
MicrosoftのTrustworthy Computingグループの責任者であるBruce Cowperは、次のようにコメントしています。
マイクロソフトは、IPv6ベースのネットワークに対する中間者攻撃の可能性に関するセキュリティプロフェッショナル間の議論を認識しています。 説明されている方法では、攻撃者が「ブラック」ルーターをインストールするためにネットワークに物理的にアクセスできる仮想的な状況が必要です。 この状況は「セキュリティホール」ではありません。 唯一の保護オプションとして、IPv6プロトコルを使用しないすべてのマシンでIPv6プロトコルを禁止しています。
翻訳者から。 「素晴らしい発見がいくつあるかについて...」 IPv6の準備を続けました。