【 ここから本文 】

セキュリティ・マネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示


セキュリティ・マネジメント

[米国]
予算カットでもDNS脆弱性問題は早急に対処すべき――専門家が警告

「放置状態は非常に危険。無料ツールを利用すれば、とりあえずは対処できる」

(2009年01月05日)

 2008年7月に発覚したDNS(Domain Name System)プロトコルの脆弱性は、各メディアが大きく取り上げた。しかし、IT業界全体が不況の影響を受けるなか、同脆弱性に対する取り組みは、2009年に持ち越されているようだ。セキュリティ専門家はこうした状況に懸念を表明し、早急に対処すべきだと警鐘を鳴らしている。

 同脆弱性は、いわゆるキャッシュ・ポイズニングを許してしまうものだ(関連記事)。攻撃者がこの脆弱性を悪用すれば、Webトラフィックや電子メールを、自分のコントロール下にあるシステムにリダイレクトすることも可能になる。

 米国のセキュリティ・サービス企業IOActiveの研究者、ダン・カミンスキー(Dan Kaminsky)氏が、2008年7月に開催されたセキュリティ・コンファレンス「Black Hat」において同脆弱性の存在を発表したことを受け、多くのベンダーは、その対応に追われることになったのだ。

 しかし、インターネット関連のテスト・サービスを提供しているThe Measurement Factoryが2008年11月に発表した「第4次DNSリポート」によると、調査対象となったDNSサーバの25%がいまだにアップデートされておらず、キャッシュ・ポイズニングやDDoS(分散サービス拒否)攻撃にあう危険性があるという。

 IPアドレス管理ベンダーのInfobloxでアーキテクチャ担当副社長を務めるクリケット・リュウ(Cricket Liu)氏は、こうした状況は非常に危険であると警告する。

 「(アップデートされていないサーバに対しては)有効なスクリプト・コードさえあれば、攻撃者はわずか10秒でキャッシュ・ポイズニングができるだろう」(リュウ氏)

 また、DNSサービスおよびツール・プロバイダーのDNSstuffが2008年9月に466社の顧客企業を対象に実施した調査でも、9.6%がDNSサーバにパッチを適用しておらず、21.9%がパッチをあてたかどうか把握していないとの結果が出た(関連記事)。DNSコミュニティやベンダーが呼びかけているにもかかわらず、非常に多くのサーバ管理者が、何の対策も講じていない現状が浮きぼりになったのである。

 パッチを適用しなかった理由としては、社内リソースが不足している(45%)、脆弱性の存在を知らなかった(30%)、(適切な処置をするだけの)DNSに関する知識が不足しているため(24%)などが挙げられた。

 IPアドレス管理ベンダーらはこうした背景を考慮し、不況の真っただ中でも人々の注意をDNSのセキュリティや技術に向けさせたいと考えているようだ。

 例えばInfobloxは、「DNSがネットワーク全体の中で果たす役割は、それほど重要ではないという認識はまちがっている」と力説する。

 「ドメイン名をIPアドレスに割り当て、インターネット上の問い合わせを正確な場所へ転送するDNSは、重要な役割を担っている。企業のDNSシステムが故障してしまうと、電子メールやWebアクセス、eコマースやエクストラネットといった、あらゆるインターネット機能が利用できなくなる」(Infoblox)

 さらに同社は、BIND(Berkeley Internet Name Domain)なら、どのバージョンでも安全であるという考えはまちがっていると警告した。BINDのバージョン9は旧版を最初から書き換えたものであり、DNSセキュリティおよびプロトコルの強化、IPv6への対応などが図られている。

 リュウ氏は、「BIND 9を採用していれば、カミンスキー氏が公表した脆弱性は関係ないと信じている管理者もいる。しかし、これはまちがった認識だ。BINDの最新版を利用していても、再帰的な問い合わせに対するアクセスを制限し、ゾーン転送を安全化するのに必要な予防措置を施していない組織(企業)は多い」と警告する。

 またリュウ氏は、「IT部門の予算が承認されるまでDNSサーバのアップデートは保留すべきだという考えは、改めるべきだ」と主張する。

 「組織(企業)は自社のシステムを検証して脆弱性を洗い出し、無料で入手できるツールを駆使してDNSサーバをアップデートすることは十分に可能だ。例えばInfobloxのWebサイトから入手できる『QuickSecure Solution』などを利用すれば、予算の承認を待つ必要はない」(リュウ氏)

 なお、再帰ネーム・サーバの脆弱性テストは、「doxpara.com」や「dnsadvisor.com」といったWebサイト、もしくはDNS-OARCのポート検証ツールを利用して実行できる。

(Denise Dubie/Network World米国版)




関連記事

▲ページの先頭へ戻る



「Enterprise Client Strategy 2010」プレビュー

インテル vPro テクノロジーがもたらす性能・運用管理・セキュリティにすぐれたPC環境とは

性能・運用管理・セキュリティにすぐれたPC環境とは

ビジネスの生産性を高めるのは、Windows 7とMDOPによる「Optimized Desktop」(デスクトップの最適化)

変化に柔軟に対応できる戦略的なIT基盤とは?

注目のホワイトペーパー

日立製作所

中堅中小企業が知っておくべきPC運用管理の勘所

〜運用コスト削減とセキュリティ強化を同時に実現するために〜

NRIセキュアテクノロジーズ

従来型の情報漏洩対策だけではもう限界!――本質を押さえた根本的な解決策とは

業務に支障なく、効率的かつ効果的なセキュリティ

日立製作所

中堅中小企業が押さえておきたいIT管理の重要ポイント

〜経済情勢の変化や顧客ニーズの多様化に柔軟に対応するために〜

日立製作所

中堅中小企業の経営基盤強化を支えるIT統合管理

〜コンパクトでスピーディな経営の実現のために〜

進化するビジネス・モバイル

トレンド最前線

注目されるビジネス・モバイルPCの市場動向を探る

WiMAX搭載モバイルPCの実力

モバイルWiMAXを取り巻くワイヤレス・ネットワーク環境の現状

インテル vProテクノロジーで実現する“鉄壁ビジネス・モバイル”

モバイルPCが抱えるセキュリティの課題とは

最新モバイルPCとWindows 7で実現するビジネスの堅牢性

Windows 7 Enterpriseが提供する企業向け機能を徹底紹介

連載

アタッカーズ・ファイル

アタッカーズ・ファイル(連載中)

ネットに潜むさまざまな脅威

ITエキスパートのための法律入門

ITエキスパートのための法律入門(連載中)

とことんわかりにくい法律を とことんわかりやすく解説!

追跡!ネットワークセキュリティ24

追跡!ネットワークセキュリティ24(連載中)

もはやITでは解決できない

初級アドミンの多忙なる一日 セキュリティ管理編

初級アドミンの多忙なる一日 セキュリティ管理編(全6回)

企業全体の安全性を考慮する
123456

キャッチアップ

セキュリティ・コストを削減に導く「3つのキーワード」

統合/SaaS/セキュリティ・サービス

最大のセキュリティ・ホールは従業員のデスク周辺

CSO編集部を抜き打ちチェック、露呈した危機管理のお粗末さ

PCI DSSに準拠する際の3つのポイント

導入前・導入時に注意すべき点はここだ!

多様化・巧妙化するフィッシング詐欺手法

目的が「偽サイトへの誘導」から「マルウェアのインストール」に

セキュリティ侵害、競合の次に狙われるのは“自社”

「基本的な対策さえ講じていない」と専門家らが指摘

依然として甘い個人ユーザーのセキュリティ対策

500件以上の事例調査から浮かび上がる業界別“脅威動向”

キーパーソン

クラウド・コンピューティングに「セキュリティ標準」を提供したい──米国PGP CEO

肥大化したセキュリティを暗号化でスリムにすることも可能

「セキュリティ・レベル向上」と「ITコスト削減」は同時に達成できる――マカフィーCEO

米国マカフィー プレジデント&CEO、デイヴィッド・デウォルト氏

シスコのチェンバースCEO、「クラウド・コンピューティングのセキュリティは“悪夢”だ」

セキュリティ専門家は「スワンプ(泥沼)コンピューティングと呼ぶほうが適切」と警告

ITスキルがあるだけでは情報セキュリティの専門家には不適格――情報セキュリティフォーラム(ISF) ハワード・シュミット会長

元ホワイトハウスのCSOから見た景気低迷下における企業の取り組み姿勢

Weekly Ranking

集計期間:02/03〜02/09



Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国