DNSSECの早期導入を：BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処

　業界団体のInternet Systems Consortium（ISC）は7月8日、DNSサーバ「BIND9」のアップデートを公開し、DNSプロトコルの脆弱性に対処した。ただし完全解決のためにはDNSSECの導入が望ましいと指摘している。

　DNSプロトコルの脆弱性についてはUS-CERTがアラートを公開し、Microsoftも同日リリースした月例セキュリティ更新プログラムでWindows DNSの脆弱性に対処した。

　US-CERTによれば、脆弱性のあるプロトコルを実装していると、攻撃者がDNSキャッシュポイズニング攻撃を仕掛け、ネームサーバのクライアントを別のサービスに接続させてしまうことが可能になる。悪質なコードの配布や、詐欺サイトを使った情報窃盗に利用される恐れもある。

　ISCはこの攻撃に対する耐性を高める狙いでBINDのアップデート版となる9.5.0-P1、9.4.2-P1、9.3.5-P1をリリース。次期メンテナンスリリースのβ版となるBIND 9.5.1b1とBIND 9.4.3b1も同時公開した。DNS管理者に対し、直ちにいずれかをインストールするよう呼び掛けている。

　ただし、脆弱性は基本的にDNSプロトコルに内在するもので、BIND9特有のものではないとISCは解説。完全な解決策は、DNSセキュリティ強化のための拡張仕様であるDNSSEC導入しかないと指摘している。今回はDNSSECの早期導入がまだ現実的には期待できないとの判断からBINDをアップデートしたが、できるだけ早くDNSSECを導入することが望ましいと強く勧告している。

過去のセキュリティニュース一覧はこちら