HOME 情報セキュリティ情報セキュリティ対策脆弱性対策ウェブサイトで利用されているDNSサーバの既知の脆弱性への注意喚起

ウェブサイトで利用されているDNSサーバの既知の脆弱性への注意喚起

－DNSサーバ管理者は脆弱性対策情報を収集し、バージョンアップを!－

最終更新日　2009年12月10日
掲載日　2009年12月10日

　IPA（独立行政法人情報処理推進機構、理事長：西垣浩司）は、ウェブサイトで利用されているDNSサーバの既知の脆弱性について、「既に脆弱性対策を施したバージョンおよび脆弱性に対応するための設定方法等が公表されているにも関わらず、未適用のDNSサーバがある」旨の届出が増加していることから、DNSサーバの管理者に対し、迅速な対策の実施を呼びかけるため、「注意喚起」を発することとしました。

　2008年8月頃から、ウェブサイトで利用されているDNSサーバに対して、「開発者から脆弱性対策を実施したバージョンおよび脆弱性に対応するための設定方法が既に公表されているのにも関わらず、DNSサーバ管理者がその対応を怠っているのではないか？」という旨の届出が増加しています。

　具体的には、2008年7月に公表した「複数のDNS実装にキャッシュポイズニングの脆弱性^(*1)」に対する修正バージョンおよび脆弱性に対応するための設定が未適用であるとの届出が、2009年11月末までに1,307件ありました。届出の対象となったウェブサイト運営主体の内訳は、地方公共団体が649、民間企業が409、政府機関が95、団体（協会・組合など）が77、教育・学術機関が68となっています（図1）。

　IPAでまとめた「2008年のコンピュータ不正アクセス届出状況^(*2)」では、実被害があった原因として「古いバージョンの使用やパッチの未適用」が16件あり、13%を占め、第2位となりました（第1位は「IDやパスワードの管理・設定の不備」で35件、29%）。

　近年、脆弱性の公表から、その脆弱性を狙った攻撃が発生するまでの間隔が短くなっています。ウェブサイト運営者・システム管理者・DNSサーバ管理者は、自組織が使用しているソフトウェアの脆弱性対策情報を定期的に収集し、未対策の場合はソフトウェアに修正プログラム（パッチ）を適用する、もしくはソフトウェアをバージョンアップする必要があります。

　なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂^(*3)」で、このようなウェブサイトの不適切な運用に関しては、注意喚起などの方法で広く対策実施を促した後に処理を取りやめることとなりました。今後、「2008年7月に公表された『複数のDNS実装にキャッシュポイズニングの脆弱性』に関するウェブサイト」の届出は受理しますが、取扱いを終了し、統計情報として活用します。

図1.DNSサーバのパッチ未適用、設定変更未実施に関する届出の運営主体の内訳

1. DNSキャッシュポイズニングの脆弱性について

　 2008年7月に、DNSサーバ製品に対するキャッシュポイズニングの脆弱性を公表しました。この脆弱性を悪用されると、図2に示すように、外部から偽の情報が書き込まれ、当該DNSを使用している利用者が悪意のあるサイトへ誘導される場合があります。また、他にもメールが意図しない宛先に送信されてしまう場合があります。

図2.DNSキャッシュポイズニングの脅威例（ウェブサイトの場合）

2. DNSキャッシュポイズニングの脆弱性の影響を受けるシステムの調査方法と対策方法

2.1 影響を受けるシステム

　次のURLの脆弱性対策情報データベース「複数の DNS 実装にキャッシュポイズニングの脆弱性」の「影響を受けるシステム」を参照ください。
http://jvndb.jvn.jp/jvndb/JVNDB-2008-001495

2.2 脆弱性有無の調査方法・対策方法

　次のURLの「DNSキャッシュポイズニング対策」の「第3章　検査ツールの使い方と注意点」および「第4章　再帰動作の設定」を参照し、利用しているDNSサーバの脆弱性有無の調査および脆弱性への対策を行ってください。
http://www.ipa.go.jp/security/vuln/DNS_security.html

3.脆弱性対策情報の収集方法

　DNSサーバによっては本問題の他にも脆弱性が公表されている製品があります。例えば、ISC BINDにおいては、「ISC BINDにおけるサービス運用妨害(DoS)の脆弱性^(*4)」等が、Windows DNSサーバにおいては、「Microsoft WindowsのWindows DNSサーバにおけるWPAD機能をハイジャックされる脆弱性^(*5)」等があります。「4. 脆弱性対策情報の収集方法」を参考に利用しているDNSサーバの脆弱性対策情報を収集し、脆弱性への対策を行ってください。

4.脆弱性対策情報の収集方法

4.1 脆弱性対策情報データベースJVN iPediaの活用

　JVN iPedia( http://jvndb.jvn.jp/ )は、日本国内で使用されているソフトウェア製品の脆弱性対策情報を収集するためのデータベースを目指し、（1）国内のソフトウェア製品開発者が公開した脆弱性対策情報、（2）脆弱性対策情報ポータルサイトJVN^(*6)で公表した脆弱性対策情報、（3）米国立標準技術研究所NIST^(*7)の脆弱性データベース「NVD^(*8)」が公開した脆弱性対策情報の中から情報を収集、翻訳し、2007年4月25日から公開しており、2009年12月現在、7,500件を超える情報を格納しています。

　JVN iPediaでは開発者ごとに公開されている脆弱性対策情報を一か所に集約することで、複数の開発者から情報を収集する手間を省き、効率的な情報収集を可能としています。また、さまざまな組織が公開する情報を横断的に知りたい場合や、特定のソフトウェアに存在する脆弱性について知りたい場合も、図3に示すように、複数の検索条件を指定することにより、効率的に情報を収集することができます（図3をクリックするとJVN iPediaでBINDを検索した結果が表示されます）。

　さらに、検索結果一覧の中から、概要や影響を受けた時の深刻度、影響を受けるシステム、対策情報などの詳細な脆弱性対策情報が入手できます。

図3.JVN iPediaの脆弱性対策情報の検索機能
（図をクリックするとBINDを検索した結果が表示されます）

4.2 脆弱性対策情報収集ツールMyJVNの活用

　MyJVN( http://jvndb.jvn.jp/apis/myjvn/ )は、JVN iPediaに登録された多数の情報の中から、利用者が、利用者自身に関係する情報のみを効率的に収集できるように、フィルタリング条件設定機能、自動再検索機能、脆弱性対策チェックリスト機能などを有し、2008年10月23日から公開しています。

　図4に示すように、利用者が収集したい製品開発者やソフトウェアなどのフィルタリング条件を一度設定しておけば、その後はMyJVNへアクセスするだけで、設定したソフトウェアの最新の情報だけが自動的に表示され、非常に効率的に情報を収集することができます。

　更に、脆弱性対策が具体的にどこまでできているか確認するための、脆弱性対策チェックリストを出力する機能も有しています。

図4.MyJVNの脆弱性対策情報のフィルタリング機能

4.3 パッチ対策の緊急度の評価

　IPAでは脆弱性の深刻度を評価したCVSS^(*9)基本値を公表しています。JVN iPediaのCVSS計算ツール（図5）を用いると、各組織での対象製品の利用範囲や、攻撃を受けた場合の被害の大きさなどを考慮し、製品利用者自身が脆弱性への対応を判断ためのCVSS環境値を計算することが可能です。

　この結果を基に、例えばCVSS環境値が7.0以上は緊急にパッチ、4.0以上は月次パッチ、それ以外は定期保守でパッチなど、パッチ対策の緊急度の見極めに活用できます。

図5.JVN iPediaのCVSS計算ツール

脚注

(*1)詳細は次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2008-001495

(*2)詳細は次のURLを参照下さい。
http://www.ipa.go.jp/security/txt/2009/documents/2008all-cra.pdf

(*3)情報セキュリティ早期警戒パートナーシップガイドライン。
http://www.ipa.go.jp/security/ciadr/partnership_guide.html

(*4)http://jvndb.jvn.jp/jvndb/JVNDB-2009-001951

(*5)http://jvndb.jvn.jp/jvndb/JVNDB-2009-001123

(*6)Japan Vulnerability Notes。脆弱性対策情報ポータルサイト。製品開発者の脆弱性への対応状況を公開し、システムのセキュリティ対策を支援しています。IPA、JPCERT/CCが共同で運営しています。
http://jvn.jp/

(*7)National Institute of Standards and Technology。米国国立標準技術研究所。米国の科学技術分野における計測と標準に関する研究を行う機関。
http://www.nist.gov/

(*8)National Vulnerability Database。NISTが運営する脆弱性データベース。
http://nvd.nist.gov/home.cfm

(*9)共通脆弱性評価システムCVSS概説。
http://www.ipa.go.jp/security/vuln/CVSS.html

プレスリリースのダウンロード

プレスリリース全文

参考情報

IPA「DNSキャッシュポイズニング対策」2009年8月11日更新
http://www.ipa.go.jp/security/vuln/DNS_security.html
IPA「DNSキャッシュポイズニング対策」の資料を公開 2009年1月14日
http://www.ipa.go.jp/security/vuln/documents/2009/200901_DNS.html
IPA「DNSサーバの脆弱性に関する再度の注意喚起」2008年12月19日公開
http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html
IPA「DNSキャッシュポイズニングの脆弱性に関する注意喚起」2008年9月18日公開
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
IPA「複数の DNS 製品の脆弱性について」2008年7月24日公開
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html
JPCERT/CC：2008年7月24日公開
https://www.jpcert.or.jp/at/2008/at080014.txt
JVN iPedia：2008年7月23日公開
http://jvndb.jvn.jp/jvndb/JVNDB-2008-001495
JVN：2008年7月9日公開
http://jvn.jp/cert/JVNVU800113/
US-CERT：2008年7月8日公開
http://www.kb.cert.org/vuls/id/800113
NVD：2008年7月8日公開
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1447
CVE：CVE-2008-1447
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1447

本件に関するお問い合わせ先

IPA セキュリティセンター山岸／渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 電話番号:03-5978-7527までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部広報グループ横山／大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 電話番号:03-5978-7503までお問い合わせください。

更新履歴

2009年12月10日	掲載

ページトップへ

情報セキュリティ