「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる：セキュリティニュースアラート

ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。

[後藤大地，有限会社オングス]

　ドイツの国立応用サイバーセキュリティ研究センターATHENEは2024年2月13日（現地時間、以下同）、DNSSEC（ドメインネームシステムのセキュリティ拡張機能）の設計に重大な欠陥「KeyTrap」を発見したと発表した。

ATHENEはDNSSECの設計に潜む重大な欠陥「KeyTrap」を発見した（出典：ATHENEのWebサイト）

「DNSに対する最悪の攻撃」　迅速なパッチ適用を推奨

　ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。

　この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。

　KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全てのシステムにおいて、インターネットアクセスを無効できるとされている。

　2023年12月には全世界のWebクライアントの31.47％がDNSSECを検証するDNSリゾルバを使用している。つまり、この攻撃が実行されるとWebブラウジングや電子メール、インスタントメッセージなどの技術が利用できなくなり、インターネットを利用するアプリケーションに深刻な影響が及ぶ可能性がある。

　発表によると、研究者らは数カ月にわたって全ての関連ベンダーや主要なパブリックDNSプロバイダーと協力してベンダー固有のパッチを作成してきた。最後のパッチは2023年2月13日に公開されている。ATHENEはDNSサービスを提供する全てのプロバイダーに対してこの脆弱性の影響を軽減するために、パッチを迅速に適用することを強く推奨している。

　KeyTrapで悪用されている脆弱性の要件は、1999年に廃止されたDNSセキュリティ拡張の標準仕様である「RFC 2535」から既に存在していた。2012年にこの脆弱性はDNSSEC検証の実装要件である「RFC 6781」と「RFC 6840」にも持ち込まれた。発表によると、この脆弱性は少なくとも2000年8月からBIND9 DNSリゾルバに存在し、2007年8月にはDNSリゾルバ「Unbound」のコードに組み込まれていたとされている。

　ATHENEは「KeyTrapはソフトウェア実装のバグではなくDNSSECの設計思想に関連した根本的な問題であるため、抜本的な解決は簡単ではない」と説明している。研究チームは主要ベンダーと協力して問題の軽減に取り組んでいるが、攻撃を完全に防ぐにはDNSSEC標準を改訂するなどしてDNSSECの設計思想を根本から考え直すことが必要だと指摘した。