なぜ、DNSはキャッシュポイズニング攻撃の危険に（まだ）さらされるのか：管理者、そしてユーザーにできる対策は？（2/2 ページ）

未対応の管理者は早急な対応を

　さて、本題に戻ろう。キャッシュポイズニング攻撃、特にカミンスキー型攻撃手法が問題視されたのは昨日や今日のことではない。前述した通り、カミンスキー型攻撃手法の問題は、2008年の時点で既に明らかにされていた（関連記事）。

　当時から、JPRSをはじめ、世界中の数多くのDNSの関係者がソースポートランダマイゼーションの適用を広く呼び掛けている。例えばJPRSのサイトを調べてみると、2008年8月11日に「複数のDNSソフトウェアにおけるキャッシュポイズニングの脆弱性について」というタイトルで注意喚起が行われていることが確認できる。

　にもかかわらず、対策がされていないキャッシュDNSサーバーが依然として全体の10％程度存在する（この「10％程度」という数字はIPアドレスベースであることに注意してほしい。非常に多くのユーザーを抱える大手ISPのキャッシュDNSサーバーも利用者の少ないキャッシュDNSサーバーも、IPアドレスベースでは1つとカウントされるからだ。基本的に台数ベースで10％程度存在することになる）。このような事態は、本来はあってはならないことだ。

　そこで、「そのような状況で、かつ新しい攻撃手法が見つかっているのにJPRSの注意喚起では攻撃手法に対する説明がされていない。情報を出さないのはなぜか」という質問を向けてみた。

　それに対し宇井氏は、「新しい攻撃手法といわれているものについても、すぐに適用可能かつ必須の対策は従来と同様、キャッシュDNSサーバーにおけるソースポートランダマイゼーションです。まずは、この対策を促進することが第一と考えています。その上で、さらに場合によってリスクを下げることができる施策もあり、これについては追加の情報公開を予定しています。しかし、攻撃手法の詳細な情報については、それが対策を促進するために必要である場合以外は、対策が進むまでは公開すべきでないと考えます」と回答した。セキュリティインシデントへの対応として、もっともな答えであると筆者は考える。

　おそらく、未対策のままとなっている10％のキャッシュDNSサーバーの管理組織の多くは、かつてカミンスキー型攻撃手法が話題になったときにも対応を行わず、そのまま6年間放置していた可能性が高いと考えられる。

　このような状況で攻撃手法に関する情報を公表した場合、それら10％の利用者をいたずらに危険に晒すことになる。かつて、カミンスキーアタックに関する情報が公表されたときですら対応促進につながらなかったのに、新たな攻撃の方法や仕組みだけが広まっていくことは避けたいというのは当然だろう。筆者は、それは正しい判断だと考える。

この問題に継続して注視を

　DNSが開発されたのは、インターネットが黎明期であった1980年代である。当時の技術的背景の中で、通信に掛かるコストや遅延をできる限り抑えること、信頼性が高くない通信路においても実用的に使えるようにすることなどの要件を満たすため、主な通信プロトコルとしてUDPが採用されたという経緯がある。UDPは、TCPと比べて送信元IPアドレスの偽装が容易であり、結果としてキャッシュポイズニング攻撃に必要な「送信元IPアドレスの偽装」が可能になってしまったという事情もある。

　最近問題になっているDNSやNTPのサーバーを利用したリフレクター攻撃にもいえることだが、問題の本質の1つは「攻撃者がインターネットに送信元を偽装したパケットを送信できること」であり、根本的な問題解決はそうした不正なパケットをインターネットに送れなくすること、つまり、世界的なBCP 38の適用である。しかし、現時点でBCP 38はなかなか普及しておらず、即時の普及も見込めないことから、個別のサーバーにおける対策が必要かつ重要になってくる。

　一方、DNSSEC検証の導入も選択肢として存在する。DNSSECの導入によって偽の応答を偽物と明確に見分けられるようになるため、キャッシュポイズニング攻撃の検知手法として使うことができるからだ。ただし、キャッシュポイズニングのリスクを軽減するためにDNSSECを導入する場合でも、ソースポートランダマイゼーションを有効にすることは必須である。

　また、キャッシュDNSサーバー側でのDNSSEC検証とともに、権威DNSサーバー側におけるDNSSEC署名も併せて実施する必要があることにも注意が必要だ。

　あらためて整理すると、今回の取材を通じて確認できたキャッシュDNSサーバー運用者に対してのメッセージは、「キャッシュDNSサーバーのバージョンを最新にし、ソースポートランダマイゼーションの機能を確実に有効にする」というものだ。

　それによって、攻撃成功確率は確実に下がる。ただし「ゼロ」にはならない。対策に合わせて運用監視をきちんと行うことも必要だ。

　JPRSでは、「この問題には今後も継続して取り組んでいく」としている。また、「より多くの方々の協力を得て、リスクを抱えたままのキャッシュDNSサーバーを確実に減らしていきたいこと、そのために自身が管理もしくは自身が利用しているキャッシュDNSサーバーの状態（設定）をあらためて確認してほしい」と述べている。

　近日中に、「今できる対策」をまとめたドキュメントも公開していく予定だ。その第1弾として、ネットワーク管理者やシステム管理者向けに「キャッシュDNSサーバー運用者向け―基本対策編」が4月30日に公開された。JPRSでは準備が整い次第、追加情報を出していくという。DNSをめぐる状況については引き続き注視が必要だ。