複数のDNS(Domain Name System) (*1)製品に、DNS の情報を書き換えられる脆弱性が存在します。

攻撃者が巧妙に細工した DNS データを DNS 製品に送付することで、登録されている DNS 情報を改ざんされる可能性があります。 これにより正規の通信を不正なコンピュータに接続するために利用され、フィッシング攻撃などに悪用される可能性があります。
この脆弱性を悪用した攻撃コードが既に公開されているため、至急、修正プログラムを適用して下さい。

注(*1) Domain Name System とは、コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

• BIND 8
• BIND 9
• Microsoft Windows 2000
• Windows XP Service Pack 2 および Windows XP Service Pack 3
• Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2
• その他、DNS を実装している製品

脆弱性の解消 - 修正プログラムの適用および設定変更 -

　※本問題への対策は修正プログラムの適用だけでは不十分な場合があります。

1.パッチの適用

・ISC BIND
　ISCの提供するパッチを適用してください。
　なお、BIND 8 をご利用の場合、本問題に対する対策が困難であるため BIND 9 に移行することをお勧めします。

CERT VU#800113 DNS Cache Poisoning Issue
http://www.isc.org/index.pl?/sw/bind/forgery-resilience.php

ISC BIND patch release
- BIND 9.3.5-P2
ftp://ftp.isc.org/isc/bind9/9.3.5-P2/bind-9.3.5-P2.tar.gz

- BIND 9.4.3b2
ftp://ftp.isc.org/isc/bind9/9.4.3b2/bind-9.4.3b2.tar.gz

- BIND 9.4.2-P2
ftp://ftp.isc.org/isc/bind9/9.4.2-P2/bind-9.4.2-P2.tar.gz

- BIND 9.5.0-P2
http://ftp.isc.org/isc/bind9/9.5.0-P2/bind-9.5.0-P2.tar.gz

- BIND 9.5.1b1
ftp://ftp.isc.org/isc/bind9/9.5.1b1/bind-9.5.1b1.tar.gz

・マイクロソフト
マイクロソフト社から提供されている修正プログラムを適用して下さい。

修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

• Microsoft Update による一括修正方法

  Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
  http://windowsupdate.microsoft.com/

  Microsoft Update の利用方法については以下のサイトを参照してください。
  http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

  なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

• 個別の修正プログラムをダウンロードしてインストールする方法

  下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
  http://www.microsoft.com/japan/technet/security/bulletin/ms08-037.mspx

　※上記以外の製品にも影響を及ぼす可能性がありますので、参考情報等を参考にご確認ください。

2.設定変更

各ベンダの修正プログラムやパッチでは、DNS サーバからの問い合わせポートを固定のポートではなくランダムにすることで本問題の対策を行っています。そのため、修正プログラムやパッチを適用しただけでは、対策が不十分な場合があります。下記の設定等を確認し、必要に応じて設定変更等を実施する必要がありま す。

・DNS サーバの問い合わせポートのランダム化

• DNS サーバの設定

  DNS サーバの設定によっては、DNS サーバからの問い合わせポートの設定が固定となっており、修正プログラムやパッチの適用が無効になる場合があります。サーバの設定を確認し、問い合わせポートがランダムにするように設定してください。
  
  (BIND の named.conf の設定例)
  // query-source port 53; //コメントアウトする
  // query-source-v6 port 53; //コメントアウトする
  
  

• ファイアウォールの設定/ルータ機器の設定

  ファイアウォールやルータ機器の設定を確認し、DNS サーバからの問い合わせをランダムのポートからできるように設定する必要があります。
  また、NAT/NAPT 機能を利用したルータの内側に 外部から利用可能な DNS キャッシュサーバ (*2) を配置している場合、本問題を利用した攻撃を受けやすくなるため、配置場所の再検討などが必要になります。

・不要な DNS キャッシュサーバを公開しない

外部から DNS キャッシュサーバへの再帰的な問い合わせを受け付ける必要がない場合、外部からの DNS サーバへの再帰的な問い合わせを受け付けない設定にすることをお勧めします。

(BIND の named.conf の設定例)
allow-recursion {
192.168.1.0/24; // 内部 IP アドレスのみの再帰的な問い合わせを受け付ける設定例
};

注(*2) DNSキャッシュサーバとは、クライアントからドメイン情報の検索リクエストを受け、外部の DNS サーバに再帰的な検索を行い、結果を返答するサーバです。

• IPA「DNSキャッシュポイズニング対策」2009年2月6日更新
  http://www.ipa.go.jp/security/vuln/DNS_security.html
• IPA「DNSキャッシュポイズニング対策の資料を公開」2009年1月14日公開
  http://www.ipa.go.jp/security/vuln/documents/2009/200901_DNS.html
• IPA「DNSサーバの脆弱性に関する再度の注意喚起」2008年12月19日公開
  http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html
• IPA「DNSキャッシュポイズニングの脆弱性に関する注意喚起」2008年9月18日公開
  http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
• JPCERT/CC：2008年7月24日公開
  http://www.jpcert.or.jp/at/2008/at080014.txt
• JVN iPedia：2008年7月23日公開
  http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001495.html
• JVN：2008年7月9日公開
  http://jvn.jp/cert/JVNVU800113/
• US-CERT：2008年7月8日公開
  http://www.kb.cert.org/vuls/id/800113
• NVD：2008年7月8日公開
  http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1447
• CVE：CVE-2008-1447
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447

2009年 2月 6日	参考情報を更新
2009年 1月14日	参考情報の追記
2008年12月19日	参考情報の追記
2008年 9月18日	参考情報の追記
2008年 8月28日	誤植の修正
2008年 8月18日	参考情報の追記
2008年 8月15日	対策の補足 ( 「2. 設定変更」を追加 )
2008年 7月24日	掲載