HOME 情報セキュリティ情報セキュリティ対策脆弱性対策DNSサーバの脆弱性に関する再度の注意喚起

DNSサーバの脆弱性に関する再度の注意喚起

－DNSサーバを管理するウェブサイト運営者は
早急にDNSサーバのパッチ適用や設定変更を!－

最終更新日　2009年2月6日
掲載日　2008年12月19日
>> ENGLISH

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、「DNSキャッシュポイズニングの脆弱性」の届出が継続しており、さらに、これらのDNSキャッシュサーバの多くに「組織の外部からの問合せに回答してしまう脆弱性」が内在していることから、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけます。

　企業や家庭に限らず、インターネット接続にはDNS(Domain Name System)^(*1)サーバが必ず利用されています。多くの場合、DNSサーバは、組織内に設置され、外部への問い合わせを一括して管理しています。このDNSサーバが脆弱性を持っている場合、外部から偽の情報が書き込まれ、悪意のあるサイトへ誘導される場合や、メールが悪意のあるサイトに送信されてしまうという問題が発生します。

　2008年7月にDNS サーバ製品の開発ベンダーから「DNSキャッシュポイズニング（汚染）の脆弱性」の対策情報が公開されています^(*2)。この脆弱性を悪用した攻撃コードが公開されていたため、IPAはウェブサイト運営者へ向けて2008年7月24日に緊急対策情報を発行しました^(*3)。また、「実際に運用されているDNSサーバに対策が実施されていないのではないか？」という旨の届出^(*4)が激増したため、2008年9月18日に注意喚起を発行しました^(*5)。

　その後も、政府機関、地方公共団体、民間企業など広範囲のウェブサイトのDNSキャッシュサーバに対する届出が継続しており、さらに、これらのDNSキャッシュサーバの多くに「組織の外部からの問合せに回答してしまう脆弱性」が内在していることから、IPAとしては、改めてウェブサイト運営者やDNSサーバの管理者に対して注意を喚起することとしました。

　ウェブサイト運営者は、自組織が利用しているDNSサーバの脆弱性調査を行うか、あるいはそのDNSサーバの管理者へ脆弱性対策状況の確認を行い、未対策の場合は対策実施を促すことが必要です。
　DNSサーバの管理者は、自組織が管理しているDNSサーバの脆弱性調査を行い、脆弱性が有る場合は、DNSサーバのパッチ適用や設定変更の早急な実施が必要です。

1.届出のあったDNSキャッシュポイズニング脆弱性の対策状況

　図1はDNSキャッシュポイズニング脆弱性の届出件数と12月18日現在の対策状況です。届出件数は11月末までに累計666件ありました。9月から11月は月に平均219件の届出がありました。通常のウェブサイト脆弱性の届出は毎月50～80件程度であることから、DNSキャッシュポイズニング脆弱性の届出件数が突出していると言えます。

　対策状況は、例えば9月に届出のあった273件のうち、66件はDNSサーバの管理者が対策を完了して取扱いを終了しましたが、207件は取扱中のままです。また、10月に届出のあった213件は29件の取扱いを終了しましたが184件は取扱中のままです。対策中のものがまだ数多くあり、DNSサーバの管理者は早急にDNSサーバのパッチ適用や設定変更が必要です。

図1.DNSキャッシュポイズニング脆弱性の届出件数と対策状況

2.DNSキャッシュポイズニングの脆弱性の脅威

　DNSサーバには、検索したIPアドレスを一定期間記憶（キャッシュ）する仕組みがあり、DNSキャッシュサーバはその役割を担います。

　図2に示すように、DNSキャッシュサーバにDNSキャッシュポイズニングの脆弱性がある場合、これを悪用した攻撃が行われると、インターネットの利用者はホスト名に対する正規のIPアドレスに接続出来なくなります。その結果、偽のウェブページが表示され、パスワードやクレジットカード番号などの情報を盗まれる可能性があります。

　また、電子メールが偽の宛先へ送付され、メールの盗聴・改ざんを受ける可能性があります。

　これらの脅威は、実際に被害を受けている場合でも、利用者から見れば正常な場合と見分けがつかないため気付くことが困難、という特徴があります。

図2.DNSキャッシュポイズニングの脅威例（ウェブサイトの場合）

3.組織の外部からの問合せに回答してしまう脆弱性の脅威

　DNSキャッシュサーバが組織の外部からの問合せに回答してしまう脆弱性が、DNSキャッシュポイズニング脆弱性のあるDNSサーバの多くに内在しています。この脆弱性を悪用したDNS amp攻撃^(*6)と呼ばれる大規模なサービス妨害攻撃が2005年頃から観測されています^(*7)。

　DNS amp攻撃は、分散型サービス妨害(Distributed Denial of Service: DDoS)攻撃の一種で、ボットと組み合わせて仕掛けられます。元々ボット自体も大規模なデータを送信する能力を持ちますが、図3に示すように、公開されているDNSキャッシュサーバを踏み台として悪用することで、ボットからのデータをその何十倍にも増幅して攻撃対象に送信し、攻撃対象をサービス不能状態にします。

　DNS amp攻撃は、不適切な設定のDNS キャッシュサーバに対して、送信元を偽装したDNSクエリを送る事で行われます。

　DNSキャッシュサーバの管理者はこのような攻撃に加担しないよう、DNSサーバのサービスの提供範囲を適切に設定し、本来サービスを提供するべき対象にのみ応答を返すようにすることが必要です。

図3.不適切な設定のDNSサーバを悪用する攻撃

4.脆弱性の影響を受けるシステムの調査方法と対策方法

4.1 影響を受けるシステム

　次のURLの脆弱性対策情報データベース「複数の DNS 実装にキャッシュポイズニングの脆弱性」の「影響を受けるシステム」を参照ください。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html

4.2 脆弱性有無の調査方法

　次のURLの「DNSキャッシュポイズニングの脆弱性に関する注意喚起」の「3.脆弱性有無の調査方法」を参照し、利用しているDNSサーバの脆弱性の有無を調査してください。
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

4.3 脆弱性の対策方法

(1) DNSキャッシュポイズニングの脆弱性対策

　次のURLの緊急対策情報「複数の DNS 製品の脆弱性について」の「対策」を参照し、パッチの適用および設定変更を行ってください。
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html

(2)DNSサーバのセキュリティ対策

　DNSサーバはその機能によってDNSコンテンツサーバとDNSキャッシュサーバが存在します。また、両方を兼ねている場合もあります。セキュリティ対策として、これらを適切に配置・設定する必要があります。

　例えば、図4に示すように、クライアントが参照するDNSサーバは内部DNSキャッシュサーバのみとし、その内部DNSキャッシュサーバが保持しない名前の解決は、外部DNSコンテンツサーバに反復的な問合せを行う設定とします。また、外部DNSコンテンツサーバはDMZ^(*8)上に配置し、再帰的なDNS問合せに回答しないように設定します。

　特に、BINDやWindowsのDNSサービス等のDNSサーバソフトウェアは、起動するとキャッシュサーバとして動作し、初期設定では再帰的な問い合わせを制限していないものが多く、攻撃の踏み台に利用されるおそれがあります。攻撃を未然に防止するため、DNSコンテンツサーバは、再帰的な問い合わせを受け付けないように設定する必要があります。

　また、キャッシュサーバとして使用しているDNSサーバでは、設定によって再帰的な問い合わせの受付範囲を内部利用者のみに制限するか、またはネットワーク構成で同様の制限をする必要があります。

図4.DNSサーバのセキュリティ対策

脚注

(*1)コンピュータがネットワークのどこに接続されているかを示すIPアドレスという数字の集まりを、www.ipa.go.jp のような人に覚えやすいドメイン表記と対応させるための情報を管理する仕組みです。

(*2)脆弱性対策情報データベースJVN iPedia「複数の DNS 実装にキャッシュポイズニングの脆弱性」を参照下さい。
http://jvndb.jvn.jp/ja/contents/2008/JVNDB-2008-001495.html

(*3)複数の DNS 製品の脆弱性について
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html

(*4)ソフトウェア等の脆弱性関連情報に関する届出制度：経済産業省告示に基づき、2004年7月より開始しました。IPAは届出受付・分析、JPCERT/CCは国内の製品開発者などの関連組織との調整を行っています。

(*5)DNSキャッシュポイズニングの脆弱性に関する注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

(*6)不適切な設定のDNSキャッシュサーバを踏み台にした、サービス妨害攻撃の一種。ボットと併せ、分散型サービス妨害攻撃に悪用される。

(*7)JPCERT/CC：DNSの再帰的な問合せを使ったDDoS攻撃に関する注意喚起。
https://www.jpcert.or.jp/at/2006/at060004.txt

JPRS：DNSの再帰的な問合せを使ったDDoS攻撃の対策について
http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

警察庁：DNSの再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について
http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf

(*8)Demilitarized Zone。インターネットに接続されたネットワークにおいて、ファイアウォールによってインターネットからも組織内のネットワークからも隔離された区域のこと。外部に公開するサーバをここに置いておけば、ファイアウォールによって外部からの不正なアクセスを排除できる。

プレスリリースのダウンロード

プレスリリース全文

参考情報

IPA「DNSキャッシュポイズニング対策」2009年2月6日更新
http://www.ipa.go.jp/security/vuln/DNS_security.html
IPA「DNSキャッシュポイズニング対策の資料を公開」2009年1月14日公開
http://www.ipa.go.jp/security/vuln/documents/2009/200901_DNS.html
IPA「DNSキャッシュポイズニングの脆弱性に関する注意喚起」2008年9月18日公開
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
IPA「複数の DNS 製品の脆弱性について」2008年7月24日公開
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html
JPCERT/CC：2008年7月24日公開
https://www.jpcert.or.jp/at/2008/at080014.txt
JVN iPedia：2008年7月23日公開
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-001495.html
JVN：2008年7月9日公開
http://jvn.jp/cert/JVNVU800113/
US-CERT：2008年7月8日公開
http://www.kb.cert.org/vuls/id/800113
NVD：2008年7月8日公開
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1447
CVE：CVE-2008-1447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447

本件に関するお問い合わせ先

IPA セキュリティセンター山岸／渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ横山／大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年 2月 6日	参考情報を更新
2009年 1月14日	参考情報を追加
2008年12月19日	掲載

ページトップへ

情報セキュリティ