記事登録
2008年10月14日(火) 11時56分

DNSキャッシュ汚染問題にみる脆弱性の公開と対処ITmediaエンタープライズ

 インターネットのドメイン名とIPアドレスを照会するためのDNSプロトコルに脆弱性が見つかり、7月に「DNSキャッシュ汚染」と呼ばれる問題がインターネットの世界に巻き起こった。

【拡大画像を含む記事】

 技術やシステムには常に脆弱性の問題がつきまとうが、ユーザーへの脆弱性情報の公開や対処をどのように進めるかは、研究者やシステム、サービス提供者らが最も頭を悩ませるところだ。脆弱性の詳細を公表すれば悪用を試みる人間が出現するものの、ユーザーの注意を強く促す。しかし、情報公開を遅らせれば、ユーザー対応の遅れも招いてしまう。

 10月9日に都内で開かれたセキュリティカンファレンス「Black Hat Japan」には、DNSキャッシュ汚染の問題を担当した米IOActiveの研究者、ダン・カミンスキー氏が脆弱性情報の公開やDNS関連製品および技術に関わるベンダー、インターネットサービスプロバイダ(ISP)などの対応について経緯を説明した。

●詳細は明らかにせず

 DNSキャッシュ汚染は、DNSキャッシュサーバがDNSサーバに名前解決を行う際、DNSサーバの応答より速く偽のDNS情報をDNSキャッシュサーバに渡すことで、ユーザーをフィッシングサイトなどに誘導できるようになる。ユーザーが正規サイトのドメインを照会しても、攻撃者によってDNSサーバが汚染されていればユーザーが不正サイトにたどり着き、マルウェア感染や個人情報の盗難といったさまざまな危険に巻き込まれる恐れがあった。

 カミンスキー氏によると、DNSプロトコルの脆弱性は2月に発見者から連絡があり、3月に脆弱性の取り扱いについて検討するプロジェクトを立ち上げた。プロジェクトには16人のセキュリティ研究者のほか、Internet System ConsortiumやMicrosoftなどDNS関連技術や製品を手がける組織も参加した。参加者らは、問題の重要度や対処方針、対策スケジュールについて話し合いを重ねたという。

 DNSプロトコルには3件の脆弱性が存在した。同氏は脆弱性の詳細を明らかにすることなく、まず数多くのベンダーが修正パッチを迅速にリリースできる体制作りを重視したという。「ISPや企業の管理者が修正パッチを速やかに適用できることを目指し、ベンダー各社が修正パッチを相次いで提供できるスケジュールを考えた」(同氏)

 調整の結果、まず7月8日にUS-SERTから「DNSプロトコルの脆弱性が存在する」という情報が公開された。それ以降、ベンダー各社が修正パッチを8月3日までにリリースできるようにするスケジュールとなった。カミンスキー氏は、修正パッチリリース後に米国で開かれたBlack Hatで、脆弱性の詳細を明らかにする計画だった。

 実際に修正パッチが公開されると、世界全体の約1億2000万台のサーバへ修正パッチが迅速に適用されたという。

 しかし同氏は、「インターネットサービスに関わる人々の協力によって、インフラの根幹に関わる脆弱性問題の影響を最小限に抑えることができた。しかし、このプロセスにはわたし自身の奢りが悪く作用してしまったところもあった」と話す。

 詳細情報が公表される前の7月22日、DNSプロトコルの脆弱性のうち1件の詳細情報がインターネットに公開されてしまった。この結果、一部のDNSサーバに対してキャッシュ汚染を図る攻撃が行われる事態が起きた。

●思わせぶりはいけない

 US-SERTによるアナウンスの後、カミンスキー氏はさまざまな開発者コミュニティーに対して、「30日間はこの問題に触れないでほしい」と説得を呼び掛けた。多くのコミュニティーが同氏に賛同したが、一部の研究者は脆弱性の詳細が何であるかを明らかにすべく、直ちに分析作業を始めてしまったという。

 7月21日に、一部の研究者がDNSプロトコルの脆弱性についての推論を明らかにし、プロジェクトに対して推論が正しいものであるかを尋ねた。問いかけに対して、プロジェクトは回答を示さなかったが、推論で指摘した内容が完全に誤ったものではないと知らせた。

 この研究者は成果をインターネットに公開したが、その情報を見た第三者がDNSプロトコルの脆弱性を悪用する手段を開発し、DNSサーバに対して攻撃を仕掛けるようになったという。

 「この問題をわたしの周囲だけにとどめてしまったのがいけなかった。むしろ、積極的に公開して研究者たちの協力を仰ぎ、みんなでこの問題に対処していくべきだったかもしれない」(カミンスキー氏)

 同氏はこうした点を振り返りつつ、修正パッチを足並みをそろえてリリースするようにしたことは評価できる点だと述べている。

●セキュリティは「完全」と「不完全」の狭間に

 DNSプロトコルは1983年に登場し、現在のインターネット普及に大きな役割を果たしてきた。今回発見された脆弱性は、日進月歩のIT世界からみれば非常に古い時代の技術力に起因する。

 「一般的にみると、“完全”に近い技術は使い勝手が悪いものになる。逆に不完全でスケーラビリティのある技術は使い勝手の良いものだ。社会で運用される場合には、得てして使い勝手が優先される」(同氏)

 今後のインターネット世界におけるセキュリティの向上について、カミンスキー氏は技術の「完全性」をどこまで追求し、それを社会全体でどのように受け止めていくか議論する必要があると指摘する。その上で将来の利用形態を見越しながら、技術のセキュリティレベルのあり方について考えていくべきだという。

 カミンスキー氏は、DNSプロトコルの脆弱性問題以外にも、例えばSSL VPN技術について落とし穴が存在するなどの問題を提起している。「インターネット取引などでSSL VPN接続が使われるが、“SSL VPNであれば安心だ”と誤っている人が多い。SSL VPNは通信データを保護するだけで、接続先の相手が正しい人物だとは何ら保証していない」(同氏)

 インターネット上には無数のセキュリティホールが存在しているが、カミンスキー氏は利用者がインターネット技術のリスクを正しく認識して、「安全に利用するための意識が持てる環境作りを進めてほしい」と呼びかけている。

【関連記事】
→ 「脆弱性」 最新記事一覧
→ 「DNSポイズニング」 最新記事一覧
初夏にネームサーバ管理者を襲う「毒混入事件」
DNS脆弱性の詳報が手違いで流出
BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処

http://headlines.yahoo.co.jp/hl?a=20081014-00000089-zdn_ep-sci

最新のニュース記事一覧
お問い合わせ