［米国］
ノミナム、DNS脆弱性への対処を施したDNSサーバ・ソフトのアップグレード版をリリース

DNS脆弱性を就く攻撃を防ぐ各種セキュリティ機能を搭載

（2008年09月01日）

　米国Nominumは先ごろ、同社のキャッシングDNSサーバ・プラットフォーム「Ventio」のアップグレード版をリリースしたと発表した。セキュリティ機能の大幅なアップグレードを図り、今年7月にセキュリティ・サービス会社の米国IOActiveの研究員であるダン・カミンスキー（Dan Kaminsky）氏がDNSキャッシュ・ポイズニングにまつわる脆弱性を公表した際、その対策として提案していた標準規格「UDP SPR（Source Port Randomization）」をサポートするセキュリティ機能を追加したという。

米国NominumのWebサイト

　Nominumは、1億2,000万人とも言われるインターネット加入者のドメイン・リクエストに対応するDNSサーバ・ソフトウェアの開発・提供を手がけるベンダーで、2001年からはDNSの考案者であるポール・モッカペトリス（Paul Mockapetris）氏が会長を務めている。

　同社によると、Ventioの最新リリースには、脆弱なドメインに対するポイズニング攻撃をブロックする機能や、攻撃を受けた際にDNSレゾリューションを安全なバック・チャネルに切り替える強力なクエリ・レスポンス・スプーフィング対策、偽のリクエストを使ったDNSキャッシュ・ポイズニングを防ぐ「Query Response Screening」機能といった各種セキュリティ機能が盛り込まれているという。

　また、DNSサーバから隠すのが困難とされる“攻撃の開始された場所”を記録し、攻撃が察知された時点でISPやネットワークに警報を出す新機能も追加したとしている。

　さらにNominumは、パッチが適用されたDNSサーバの前でNAT（ネットワーク・アドレス変換）を使う際に生じる可能性のある重大な問題も解決したという。ファイアウォールとロード・バランシングNATは、UDPポートに逐次割り当てられるが、これによりポート・ランダム化対策の効果が損なわれる可能性があったからだ。

　同社は公式にはこれまで、UDP SPRがキャッシュ・ポイズニング攻撃に対する対策と述べてきたが、この対策は本格的な解決策が講じられるまでの暫定的なものであり、ハッカーの攻撃を完全に排除するには不十分であった。

　実際、ロシアのセキュリティ研究者エフゲニー・ポリヤコフ（Evgeniy Polyakov）氏が行った概念実証のためのハッキングでは、完全な対策が講じられたBIIND DNSサーバに大量の偽DNSリクエストを出す装置を使用することで、約10時間でキャッシュ・ポリューションを発生させることに成功している。

　Nominumは、他の大手ソフトウェア・ベンダーとともにこの問題の解決に努めており、カミンスキー氏も、8月初めに米国で開催されたセキュリティ・コンファレンス「Black Hat）」で講演した際、Nominumの取り組みに注目していることを明言していた。

　DNSサーバの問題は、近年相次いで明らかになっているが、これまでは個々のベンダーの製品に限られるものがほとんどだった。今後はカミンスキー氏らの努力により、インターネットのDNSシステム全体に影響を与えるような深刻な不具合は減っていく見通しとされている。

(John E. Dunn／Techworld英国版)