HOME情報セキュリティ緊急対策情報複数の DNS 製品の脆弱性について

本文を印刷する

情報セキュリティ

複数の DNS 製品の脆弱性について

第08-19-127-3号

最終更新日:2009年2月6日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

複数のDNS(Domain Name System) (*1)製品に、DNS の情報を書き換えられる脆弱性が存在します。

攻撃者が巧妙に細工した DNS データを DNS 製品に送付することで、登録されている DNS 情報を改ざんされる可能性があります。 これにより正規の通信を不正なコンピュータに接続するために利用され、フィッシング攻撃などに悪用される可能性があります。
この脆弱性を悪用した攻撃コードが既に公開されているため、至急、修正プログラムを適用して下さい。

注(*1) Domain Name System とは、コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

対象

  • BIND 8
  • BIND 9
  • Microsoft Windows 2000
  • Windows XP Service Pack 2 および Windows XP Service Pack 3
  • Windows Server 2003 Service Pack 1 および Windows Server 2003 Service Pack 2
  • その他、DNS を実装している製品

対策

脆弱性の解消 - 修正プログラムの適用および設定変更 -

 ※本問題への対策は修正プログラムの適用だけでは不十分な場合があります。

1.パッチの適用

・ISC BIND
 ISCの提供するパッチを適用してください。
 なお、BIND 8 をご利用の場合、本問題に対する対策が困難であるため BIND 9 に移行することをお勧めします。

・マイクロソフト
マイクロソフト社から提供されている修正プログラムを適用して下さい。

修正プログラムの適用方法には、Microsoft Update による一括修正の方法と、個別の修正プログラムをダウンロードしてインストールする方法があります。

  • Microsoft Update による一括修正方法

    Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
    http://windowsupdate.microsoft.com/

    Microsoft Update の利用方法については以下のサイトを参照してください。
    http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

    なお、Service Pack の適用を制御している場合、一括修正で最新のService Pack が適用される可能性がありますので、ご注意ください。

  • 個別の修正プログラムをダウンロードしてインストールする方法

    下記のマイクロソフト社のページより、修正プログラムをダウンロードしてインストールします。
    http://www.microsoft.com/japan/technet/security/bulletin/ms08-037.mspx

 ※上記以外の製品にも影響を及ぼす可能性がありますので、参考情報等を参考にご確認ください。

2.設定変更

各ベンダの修正プログラムやパッチでは、DNS サーバからの問い合わせポートを固定のポートではなくランダムにすることで本問題の対策を行っています。そのため、修正プログラムやパッチを適用しただけでは、対策が不十分な場合があります。下記の設定等を確認し、必要に応じて設定変更等を実施する必要がありま す。

・DNS サーバの問い合わせポートのランダム化

  • DNS サーバの設定

    DNS サーバの設定によっては、DNS サーバからの問い合わせポートの設定が固定となっており、修正プログラムやパッチの適用が無効になる場合があります。サーバの設定を確認し、問い合わせポートがランダムにするように設定してください。

    (BIND の named.conf の設定例)
    // query-source port 53; //コメントアウトする
    // query-source-v6 port 53; //コメントアウトする

  • ファイアウォールの設定/ルータ機器の設定

    ファイアウォールやルータ機器の設定を確認し、DNS サーバからの問い合わせをランダムのポートからできるように設定する必要があります。
    また、NAT/NAPT 機能を利用したルータの内側に 外部から利用可能な DNS キャッシュサーバ (*2) を配置している場合、本問題を利用した攻撃を受けやすくなるため、配置場所の再検討などが必要になります。

・不要な DNS キャッシュサーバを公開しない

    外部から DNS キャッシュサーバへの再帰的な問い合わせを受け付ける必要がない場合、外部からの DNS サーバへの再帰的な問い合わせを受け付けない設定にすることをお勧めします。

    (BIND の named.conf の設定例)
    allow-recursion {
    192.168.1.0/24; // 内部 IP アドレスのみの再帰的な問い合わせを受け付ける設定例
    };

注(*2) DNSキャッシュサーバとは、クライアントからドメイン情報の検索リクエストを受け、外部の DNS サーバに再帰的な検索を行い、結果を返答するサーバです。

参考情報

更新履歴

2009年 2月 6日 参考情報を更新
2009年 1月14日 参考情報の追記
2008年12月19日 参考情報の追記
2008年 9月18日 参考情報の追記
2008年 8月28日 誤植の修正
2008年 8月18日 参考情報の追記
2008年 8月15日 対策の補足 ( 「2. 設定変更」を追加 )
2008年 7月24日 掲載