【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
予算カットでもDNS脆弱性問題は早急に対処すべき――専門家が警告
「放置状態は非常に危険。無料ツールを利用すれば、とりあえずは対処できる」
(2009年01月05日)
2008年7月に発覚したDNS(Domain Name System)プロトコルの脆弱性は、各メディアが大きく取り上げた。しかし、IT業界全体が不況の影響を受けるなか、同脆弱性に対する取り組みは、2009年に持ち越されているようだ。セキュリティ専門家はこうした状況に懸念を表明し、早急に対処すべきだと警鐘を鳴らしている。
同脆弱性は、いわゆるキャッシュ・ポイズニングを許してしまうものだ(関連記事)。攻撃者がこの脆弱性を悪用すれば、Webトラフィックや電子メールを、自分のコントロール下にあるシステムにリダイレクトすることも可能になる。
米国のセキュリティ・サービス企業IOActiveの研究者、ダン・カミンスキー(Dan Kaminsky)氏が、2008年7月に開催されたセキュリティ・コンファレンス「Black Hat」において同脆弱性の存在を発表したことを受け、多くのベンダーは、その対応に追われることになったのだ。
しかし、インターネット関連のテスト・サービスを提供しているThe Measurement Factoryが2008年11月に発表した「第4次DNSリポート」によると、調査対象となったDNSサーバの25%がいまだにアップデートされておらず、キャッシュ・ポイズニングやDDoS(分散サービス拒否)攻撃にあう危険性があるという。
IPアドレス管理ベンダーのInfobloxでアーキテクチャ担当副社長を務めるクリケット・リュウ(Cricket Liu)氏は、こうした状況は非常に危険であると警告する。
「(アップデートされていないサーバに対しては)有効なスクリプト・コードさえあれば、攻撃者はわずか10秒でキャッシュ・ポイズニングができるだろう」(リュウ氏)
また、DNSサービスおよびツール・プロバイダーのDNSstuffが2008年9月に466社の顧客企業を対象に実施した調査でも、9.6%がDNSサーバにパッチを適用しておらず、21.9%がパッチをあてたかどうか把握していないとの結果が出た(関連記事)。DNSコミュニティやベンダーが呼びかけているにもかかわらず、非常に多くのサーバ管理者が、何の対策も講じていない現状が浮きぼりになったのである。
パッチを適用しなかった理由としては、社内リソースが不足している(45%)、脆弱性の存在を知らなかった(30%)、(適切な処置をするだけの)DNSに関する知識が不足しているため(24%)などが挙げられた。
IPアドレス管理ベンダーらはこうした背景を考慮し、不況の真っただ中でも人々の注意をDNSのセキュリティや技術に向けさせたいと考えているようだ。
例えばInfobloxは、「DNSがネットワーク全体の中で果たす役割は、それほど重要ではないという認識はまちがっている」と力説する。
「ドメイン名をIPアドレスに割り当て、インターネット上の問い合わせを正確な場所へ転送するDNSは、重要な役割を担っている。企業のDNSシステムが故障してしまうと、電子メールやWebアクセス、eコマースやエクストラネットといった、あらゆるインターネット機能が利用できなくなる」(Infoblox)
さらに同社は、BIND(Berkeley Internet Name Domain)なら、どのバージョンでも安全であるという考えはまちがっていると警告した。BINDのバージョン9は旧版を最初から書き換えたものであり、DNSセキュリティおよびプロトコルの強化、IPv6への対応などが図られている。
リュウ氏は、「BIND 9を採用していれば、カミンスキー氏が公表した脆弱性は関係ないと信じている管理者もいる。しかし、これはまちがった認識だ。BINDの最新版を利用していても、再帰的な問い合わせに対するアクセスを制限し、ゾーン転送を安全化するのに必要な予防措置を施していない組織(企業)は多い」と警告する。
またリュウ氏は、「IT部門の予算が承認されるまでDNSサーバのアップデートは保留すべきだという考えは、改めるべきだ」と主張する。
「組織(企業)は自社のシステムを検証して脆弱性を洗い出し、無料で入手できるツールを駆使してDNSサーバをアップデートすることは十分に可能だ。例えばInfobloxのWebサイトから入手できる『QuickSecure Solution』などを利用すれば、予算の承認を待つ必要はない」(リュウ氏)
なお、再帰ネーム・サーバの脆弱性テストは、「doxpara.com」や「dnsadvisor.com」といったWebサイト、もしくはDNS-OARCのポート検証ツールを利用して実行できる。
(Denise Dubie/Network World米国版)
【The Measurement Factory調査】DNSサーバの25%は「キャッシュ・ポイズニング攻撃」にいまだ未対応
脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに
[米国]【Black Hat USA 2008】DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介
「SSLはわれわれが思っているような万能薬ではない」と強調
当面は応急パッチでしのぐ以外に対処法はなし
[世界]DNS脆弱性の詳細情報が“公開”された直後に、新攻撃コードが出現
「検知不可能なフィッシング攻撃が行われるのも時間の問題」と専門家は警鐘
【解説】2009年のセキュリティ動向は?――ベンダー各社の予測を読む
来年も脅威の「質」は変化なし、ただし「量」は全体に増加傾向
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
