IPv6対応製品にDoSの脆弱性、IPAらが注意喚起

IPAとJPCERT/CCは、IPv6対応の複数製品にDoSの脆弱性が見つかったとして注意を呼び掛けている。

[ITmedia]

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は10月26日、IPv6に対応した複数製品にサービス妨害（DoS）の脆弱性が見つかったとして注意を呼び掛けた。

　IPAによると、脆弱性はNeighbor Discovery for IP version 6（RFC4861）に関連するパケットの不適切な処理に起因するもの。ローカルネットワーク上から細工された大量のパケットが送信されることで、DoSが誘発されてしまう恐れがある。

　同日までに富士通と古河電気工業、東芝テックが情報を公開し、古河電気工業は一部製品で「IPv6アドレス設定メカニズム（RA受信機能）」を有効にしている場合に影響を受けることを明らかにした。同機能を無効にするか、有効にしていてもオンリンクに信頼できないノードが接続できないような運用形態であれば影響を受けないといい、解決するためのファームウェアを準備している。富士通は調査中の一部製品以外は影響を受けず、東芝テックでは該当製品はないと説明している。

　IPAとJPCERT/CCは、ユーザーに製品開発元への確認とアップデートの適用（提供されている場合）を促しているほか、回避策として以下の3つを紹介している。

• Secure Neighbor Discovery（SEND）を利用する――RFC3972で規定されている「Cryptographically Generated Address（CGA）」を利用して、パケットの妥当性を検証する
• 利用者端末でフィルタリングする――可能な場合には、パーソナルファイアウォールなどにより、「Router Advertisement（RA）」やND Redirectパケットを制御する
• L2中継装置でフィルタリングする――IPv6ヘッダに基づくパケットフィルタリング機能を備えているL2中継装置（スイッチや無線LAN アクセスポイント）を利用できる場合には、中継装置でルータ以外のポートから送信されたRAやND Redirectパケットを破棄する。または利用者端末間の直接通信を制限する（端末間通信を制限することでDuplicate Address Detectionが機能しない可能性がある）

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら