SQLワーム対策の副作用で、DNSに問題が生じる可能性

2003/2/11

 マイクロソフトのSQL Serverを狙ったワームが発生してから2週間が過ぎた。このワームはTCP/IPの1434番ポートを使って感染することから、SQL Serverにパッチを当てる以外に、緊急措置として外部からの1434番ポートへの通信をフィルタリングすることで対処したネットワーク管理者も多かったはずだ。

 しかし、このポート番号をフィルタリングする方法では、DNSを含むネットワーク上のサービスに重大な影響を及ぼすことがあると、2月7日に日本レジストリサービス(JPRS)が同社のWebサイトに情報を掲載した。社団法人日本ネットワークインフォメーションセンター(JPNIC)も、同様の原因から「インターネットの利用ができなくなったとの問い合わせが増加してきている」というアナウンスを発表している。

 DNSではその仕組み上、利用者側のネームサーバ(キャッシュサーバ)の発信ポートとして偶然1434番ポートが使われることがある。そうした場合、ネームサーバはその応答をポート1434に返すため、1434番ポートを遮断しているとDNSからの応答を利用者側で受け取ることができなくなるというものだ。これが起こると、利用者からはDNSによる名前解決ができなくなるという状態になる。

 さらに、DNSを実装した代表的なソフトウェアであるBIND 8/BIND 9のキャッシュサーバでは、発信用のポート番号を決めるとそれ以後ずっとそのポート番号を使い続けるため、たまたまそれがフィルタリングされた1434番に該当すると、初期化などによって発信用のポート番号が変わらない限りずっとそのサービスが利用できなくなるのだという。

 この対策として、相手が53番ポートを利用している通信はフィルタリングしないといった方法があるが、DNS以外でも1024番以降のポート番号を利用するサービスは数多くあるため、JPRSでは「ポートのフィルタリングは暫定的な措置としては有効」ではあるが、「他のサービスへの影響の可能性がある」ことを理解する必要がある、としている。

[関連リンク]
ウィルス・ワーム等への対処としてフィルタリングを行う場合の注意(JPRS)
ウィルス・ワーム対策のためのフィルタリングがDNSに及ぼす影響について(JPNIC)

[関連記事]
SQLワーム被害に「人災だ」の声、日本での影響は軽微 (@ITNews)
情報セキュリティに求められる3つの条件とは (@ITNews)
最も流行したウイルスはクレズ、トレンドが年間ランキング発表 (@ITNews)
強みは"日本製"、ウイルスバスター新版が登場 (@ITNews)
セキュリティ製品のバリアフリーを推進するシマンテック (@ITNews)
絶好調のシマンテック、企業向けソリューション事業を大幅強化 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)