［米国］【The Measurement Factory調査】
DNSサーバの25％は「キャッシュ・ポイズニング攻撃」にいまだ未対応

脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに

（2008年11月12日）

　DNSサーバにセキュリティ上の深刻な脆弱性が見つかったのは今年7月のこと。以降、IT業界はDNSサーバのセキュリティ対策を必死で進めているが、それでも4台に1台の割合で脆弱なDNSサーバが存在することが、米国The Measurement Factoryの調査で明らかになった。

　DNSサーバの脆弱性を最初に指摘したのは、米国のセキュリティ・ベンダーIOActiveで侵入テスト担当ディレクターを務めるダン・カミンスキー（Dan Kaminsky）氏。氏は7月17日に記者会見を開き、キャッシュ・ポイズニング攻撃に対するDNSプロトコルの脆弱性について公表、早急な対策を訴えた（関連記事）。

米国The Measurement FactoryのWebサイト

　にもかかわらず、最新の調査結果によれば、4台に1台の割合で未対策のDNSサーバが存在する。しかも、そのうちの40％は自分自身だけでなく、ほかのサーバを危険にさらしていることがわかった。

　インターネット関連のテスト・サービスを提供しているThe Measurement Factoryがこのほど発表した「第4次DNSリポート」によると、調査対象となったDNSサーバの25％がいまだにアップデートされておらず、ソース・ポートのランダム化が実行できていないという。カミンスキー氏は先だって、同氏が発見した脆弱性はソース・ポートのランダム化により修正できると述べていたにもかかわらず、である。

　ちなみにThe Measurement Factoryは、IPv4アドレス空間の5％に相当する8,000万個のアドレスをサンプルとして抽出したという。

　IPアドレス管理ベンダーのInfobloxと、DNSサービスおよびツール・プロバイダーのDNSstuffも、未対応のDNSサーバがかなりの数に上ることを危惧している。「アップデートされないまま放置され、キャッシュ・ポイズニング攻撃を受けやすくなっているDNSサーバの数は驚くほど多い」

　DNSstuffが今年9月に466社の顧客企業を対象に実施した調査でも、9.6％がDNSサーバにパッチを適用していないと回答し、パッチを当てたかどうかわからないと回答した割合も21.9％に上った。同調査の結果は、DNS関連コミュニティや複数のベンダーがアップデートを推奨しているにもかかわらず、極めて多くのDNSサーバ管理者がいまだに何の対策も講じていないことを示している。

　パッチを適用していない理由として、「社内リソースの不足」を挙げた企業は45％以上にもなる。続いて、30％が「脆弱性に気づいていなかった」、24％が「適切な処置を施すためのDNSに関する知識が欠如していた」と回答している。

　DNSサーバの40％以上が再帰クエリを許可しているという現状も、DNSのセキュリティ低下を招いている。「未解決なままの再帰クエリがあふれており、当該サーバにとっても他のサーバにとっても危険な状態だ。再帰クエリを許可しているDNSサーバは、キャッシュ・ポイズニングやDDoS攻撃に非常に弱い」と、The Measurement Groupは説明している。また、サンプルとして抽出されたアドレスの30％は任意のリクエスタへのゾーン転送が可能なため、サーバがDoS攻撃の標的にされるおそれもあるという。

　Infobloxのアーキテクチャ担当副社長、クリケット・リュウ（Cricket Liu）氏は、「たとえ、カミンスキー氏が発見した脆弱性を修正するのが難しいとしても、再帰クエリやオープンなゾーン転送の禁止など、企業がセキュリティ確保のために設定しておくべき事柄はたくさんある。それすら行わないのは、ドアに鍵をかけて窓を開け放っておくようなものだ」と警鐘を鳴らしている。

(Denise Dubie／Network World米国版)