［世界］
ベンダー各社がDNS脆弱性への対策を本格化――問題の深刻さを理解

「根本的な解決はまだ数週間先」とセキュリティ専門家

（2008年08月04日）

　DNS（Domain Name System）で重大な脆弱性が発見されてから1カ月近くが経過し、ファイアウォール・ソフトウェア・ベンダーの間ではようやく抜本的な対策に向けた動きが出始めている（関連記事）。

　DNSの脆弱性は、米国Microsoft、米国Cisco Systems、Internet Systems Consortium（ISC）などが提供するソフトウェアに影響を与えている。

　ファイアウォール・ソフトの中には、DNSパッチに搭載されているソース・ポート・ランダム化機能を無効にしているものもある。セキュリティ専門家によると、この方法を利用すれば、脆弱性を突かれてDNSパッチが機能不全に陥ってしまう事態は避けられるものの、DNSサーバに対してキャッシュ・ポイズニング攻撃が比較的容易に実行されてしまうという。

　DNSの脆弱性を最初に発見した米国のセキュリティ・サービス企業IOActiveの研究員、ダン・カミンスキー（Dan Kaminsky）氏は、同脆弱性が及ぼす影響の大きさに驚いたという。メール取材に応じたKaminsky氏は、「程度の差はあるものの、だれもが影響を受ける可能性のある問題だと言える。DNSサーバの前面に導入されているファイアウォールの数を過小評価していた。現在、Cisco、Juniper、Citrixなど多くのファイアウォール・ベンダーが製品のアップデートに本格的に取り組んでいる」と述べた。

　しかし、ベンダー各社が同脆弱性を解消できるようになるのは数週間先になると、Kaminsky氏は見ている。

CiscoのWebサイトには、DNS脆弱性に関するセキュリティ・アドバイザリーが公開されている

　Ciscoは、DNSの脆弱性への対処法を示したセキュリティ・アドバイザリーを7月30日に更新している。Ciscoの製品セキュリティ問題対策チームのディレクター、ラス・スモーク（Russ Smoak）氏は、脆弱性の影響を受けるのは、ポート・アドレス・トランスレーション（PAT）を実行するタイプのファイアウォール・ソフトであるとしたうえで、「PAT型ファイアウォールを使っているユーザーは、当社から公開される文書をよく読み、ネットワークの構成方法を理解したうえで、必要に応じて修正プログラムをインストールしてほしい」と話している。

　Kaminsky氏は、暫定的な対策としてPATが実行されないサーバにDNSルックアップを転送するか、ファイアウォールを再構成するという方法を紹介している。

　米国Juniper Networksの広報担当者シンディ・タ（Cindy Ta）氏は、数週間以内にランダム・ソース・ポート・オプションを出荷できるとの見通しを示している。

　ちなみに、米国Check Point Softwareなどの製品のように、同脆弱性の影響を受けないファイアウォール・ソフトもある。

　Kaminsky氏が発見したDNSの脆弱性は、さまざまな製品に影響を及ぼしているため、修正パッチに不具合が出てしまう可能性も指摘されている。先週初め、DNSの専門家たちは、自分たちの開発したパッチがトラフィックの多いサーバ（1秒間に1万件以上のクエリを処理するようなサーバ）のパフォーマンスを低下させていることを明らかにした。また、米国のセキュリティ・ベンダーnCircleは8月1日、米国Appleの修正プログラムが正常に機能しないと指摘するリポートを発表している。

　ISC社長のポール・ビジエ（Paul Vixie）氏は、PAT型ファイアウォール製品の問題点を指摘したうえで、当初は懐疑的な声もあったが、今では多くのユーザーがDNSの脆弱性の深刻さを理解し始めていると話す。Kaminsky氏が同脆弱性を初めて取り上げたとき、セキュリティ専門家たちからは、すでに知られている問題の焼き直しではないかという声が出ていた。

　しかし先月、同脆弱性の詳細が明らかになったことで、こうした疑念は払拭された。Vixie氏は、「現在も混乱は続いているが、『大げさすぎる。差し迫った問題ではない』といった発言を繰り返し、事態をより複雑にするような人物はいなくなった」と述べている。

(Robert McMillan／IDG News Service)