【解説】
DNSに深刻な脆弱性――急がれる抜本的対策

当面は応急パッチでしのぐ以外に対処法はなし

（2008年07月18日）

インターネット上のすべてのDNSサーバに影響

　Kaminsky氏がDNSプロトコルの欠陥を発見したのは今年に入ってからだが、それが公になったのは10日ほど前である。これを受け、MicrosoftやCisco Systems、U.S. Computer Emergency Readiness Team（US-CERT）などが一斉にこの欠陥の情報を告知し、セキュリティ更新プログラムを公開した。

今回の脆弱性に関するUS-CERTのアドバイザリ

　この欠陥は明らかに深刻であり、それゆえ広く注目されている。インターネット上でIPアドレス解決を行うすべてのDNSサーバに影響を及ぼすためだ。

　Kaminsky氏が発見したのは、いわゆるキャッシュ・ポイズニングの脆弱性である。既存の研究によると、攻撃者がこの脆弱性を悪用すれば、Webトラフィックや電子メールを、自分のコントロール下にあるシステムにリダイレクトすることも可能になる。この欠陥はDNSプロトコル・レベルに存在し、多数のベンダーの多数の製品に影響する。

　Kaminsky氏によると、この脆弱性は、DNSクエリへの応答が正当かどうかの判断に使用されるトランザクション識別プロセスに存在する。DNSメッセージには、ランダムと考えられている識別番号が含まれる。だが、現在は識別子として約6万5,000種類の値しか使われていないという問題がある。また、識別子をパケットに割り当てるプロセスは、実際には必ずしもランダムではなく、推測が可能だという。

　US-CERTが公開したアドバイザリによると、この欠陥により、偽のデータをシステムに注入する攻撃をDNSサーバが受けるおそれがある。こうした攻撃は概念的に新しいものではなく、過去に数人のセキュリティ研究者が、Kaminsky氏が発見したものに似たキャッシュ・ポイズニングの脆弱性について記述した事例があるという。

　この脆弱性は基本的に、「きわめて巧妙な悪用技術」によってDNSトラフィックのスプーフィングを行う方法を攻撃者に与えてしまうと、US-CERTの同アドバイザリには記されている。

　複数のベンダーが提供している応急措置のパッチは、いわゆる「ポート・ランダム化」技術を採用している。これは、DNSメッセージのスプーフィングを目的としたDNSメッセージIDの推測を“きわめて困難”にする技術である。

懐疑的な見方を一蹴――「前例のない深刻さ」

　一部の研究者は、Kaminsky氏が発見した欠陥を「さほど深刻なものではない」として懐疑的にみている。同氏は17日、こうした見方を一蹴し、「一部の人の認識とは異なり、この脆弱性はまったく新しいものであり、その深刻さは前例がない」と強調した。さらに、DNSサーバに早急にパッチを当てるよう、ITマネジャーにあらためて呼びかけた。

　DNSの専門家として知られるクリケット・リュー（Cricket Liu）氏も、Kaminsky氏と同意見だ。ドメイン・ネーム解決やIPアドレス割り当てなどのサービスを提供するInfobloxのアーキテクチャ担当バイスプレジデントであるLiu氏は、Kaminsky氏の記者会見後にComputerworld米国版の取材に応え、現行のパッチで何とか時間は稼げるものの、恒久的な修正プログラムが絶対必要になると述べている。

　さらにLiu氏は、企業はパッチをDNSサーバに速やかに適用して危険を回避すべきだと強調。この脆弱性を悪用した攻撃は多くの人が考える以上に簡単だと、警鐘を鳴らしている。

(Computerworld.jp)

前のページへ < ｜1｜2｜