早急にDNSサーバのパッチ適用や設定変更を！〜IPA、“キャッシュポイズニング”に再度の注意喚起

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は19日、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけた。

　「DNSキャッシュポイズニング」の脆弱性を悪用した攻撃コードが公開されていたため、IPAは7月24日にウェブサイト運営者へ向けて緊急対策情報を発行した。また、「実際に運用されているDNSサーバに対策が実施されていないのではないか？」という旨の届出が激増したため、9月18日に注意喚起を発行した。しかしその後も、政府機関、地方公共団体、民間企業など広範囲からDNSキャッシュサーバに対する届出が継続しており、さらに、これらのDNSキャッシュサーバの多くに「組織の外部からの問合せに回答してしまう脆弱性」が内在していることから、改めてウェブサイト運営者やDNS サーバの管理者に対して注意を喚起することとしたものだ。

　DNSキャッシュポイズニング脆弱性の届出件数と12月18日現在の対策状況によると、届出件数は11月末までに累計666件。9月から11月は月に平均219件の届出があったという。通常のウェブサイト脆弱性の届出は毎月50〜80件程度であることから、DNSキャッシュポイズニング脆弱性の届出件数が突出していると言える。対策状況は、たとえば9月に届出のあった273件のうち、207件は取扱中のままとなっている。10月に届出のあった213件のうち184件は取扱中のままだ。対策中のものがまだ数多くあり、DNSサーバの管理者は早急にDNSサーバのパッチ適用や設定変更が必要だとIPAでは見ている。

　DNSキャッシュポイズニングの脆弱性がある場合、これを悪用した攻撃が行われると、インターネットの利用者はホスト名に対する正規のIPアドレスに接続できなくなる。その結果、偽のウェブページが表示され、パスワードやクレジットカード番号などの情報を盗まれる可能性が出る。また、電子メールが偽の宛先へ送付され、メールの盗聴・改ざんを受ける可能性もある。これらの脅威は、実際に被害を受けている場合でも、利用者から見れば正常な場合と見分けがつかないため気づくことが困難となる。またDNSキャッシュサーバが組織の外部からの問合せに回答してしまう脆弱性が、DNSキャッシュポイズニング脆弱性のあるDNSサーバの多くに内在している。この脆弱性を悪用した「DNS amp攻撃」と呼ばれる大規模なサービス妨害攻撃が2005年頃から観測されている。「DNS amp攻撃」は、分散型サービス妨害（Distributed Denial of Service: DDoS）攻撃の一種で、ボットと組み合わせて仕掛けられ、公開されているDNSキャッシュサーバを踏み台として悪用することで、ボットからのデータを何十倍にも増幅して攻撃対象に送信し、攻撃対象をサービス不能状態にしてしまう。DNSキャッシュサーバの管理者はこのような攻撃に加担しないよう、DNSサーバのサービスの提供範囲を適切に設定し、本来サービスを提供するべき対象にのみ応答を返すようにすることが必要だ。

　DNSサーバはその機能によってDNSコンテンツサーバとDNSキャッシュサーバが存在する。セキュリティ対策として、これらを適切に配置・設定する必要がある。クライアントが参照するDNSサーバは内部DNSキャッシュサーバのみとし、その内部DNSキャッシュサーバが保持しない名前の解決は、外部DNSコンテンツサーバに反復的な問合せを行う設定とすべきだ。また、外部DNSコンテンツサーバはDMZ上に配置し、再帰的なDNS問合せに回答しないように設定すべきだ。特に、BINDやWindowsのDNSサービス等のDNSサーバソフトウェアは、起動するとキャッシュサーバとして動作し、初期設定では再帰的な問い合わせを制限していないものが多く、攻撃の踏み台に利用されるおそれがある。攻撃を未然に防止するため、DNSコンテンツサーバは、再帰的な問い合わせを受け付けないように設定する必要がある。また、キャッシュサーバとして使用しているDNSサーバでは、設定によって再帰的な問い合わせの受付範囲を内部利用者のみに制限するか、またはネットワーク構成で同様の制限をする必要がある。