「BIND 9」をはじめとする複数のDNSソフトにDoSの脆弱性：DNSの基本仕様のあいまいさに根本原因、対策は修正版へのアップデート

BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在する。対策は最新版へのアップデートだ。

[高橋睦美，＠IT]

　日本レジストリサービス（JPRS）は2014年12月9日、BIND 9やUnbound、PowerDNS Recursorといった複数のDNSソフトウェアの全てのバージョンに、DoS攻撃につながる恐れのある脆弱性が存在することを明らかにし、注意を呼び掛けた。JPCERTコーディネーションセンター（JPCERT/CC）も同日、BIND 9に関する注意喚起文書を公表している。

　JPRSによるとこの脆弱性は、少なくとも全てのバージョンのBIND 9とUnbound、PowerDNS Recursorに存在する。他にも フルリゾルバーの機能を持つDNSソフトウェアは、同じく影響を受ける恐れがあるという。

　脆弱性は、キャッシュDNSサーバーの機能に存在する。DNSでは、同メイン名の階層を「ゾーン」と呼ばれる単位に分割することで分散管理を実現しているが、親から子にゾーンの管理を委任（delegation）する際の設定内容に適切な制限値が設定されていない。この仕組みを悪用し、外部から悪意を持つ委任を設定し、その委任を参照するような名前解決を実行させることにより、攻撃対象となったキャッシュDNSサーバーのCPUやメモリなどを過度に消費させ、DoS状態に陥らせることが可能だ。なお、権威DNSサーバーとして運用している場合でも、BIND 9に含まれるキャッシュDNSサーバーの機能を有効にしている場合は影響を受けるため、注意が必要という。

　JPRSはこの問題を、「DNSの基本仕様における定義の不明確さ、および各実装における不備の双方に起因している」と説明している。

　対策は、脆弱性を修正した「BIND 9.10.1-P1、BIND 9.9.6-P1」「Unbound 1.5.1」「PowerDNS Recursor 3.6.2」にアップグレードすることだ。なおBIND 9の開発元であるISCは、一時的な回避策は存在しないとしており、早急な更新を呼び掛けている。

　ISCによれば、今のところこの脆弱性を悪用した攻撃は確認されていないという。しかし、ひとたびDNSに関連するサービスに対してDoS攻撃が発生すれば、影響はサーバー運用者のみならず、それを利用する多数のユーザーに及ぶ。この脆弱性とは異なるが、12月初めには「DNSimple」がDDoS攻撃を受けて数時間に渡ってダウンし、それを利用していたWebサービスにも影響が波及する事件が発生している。