BINDの脆弱性からゼロトラストが崩壊？ 実証方法が公開される：セキュリティニュースアラート

セキュリティ研究者がBINDの脆弱性を悪用し、ゼロトラスト環境の制御を回避する手法を実証した。DNS障害によって秘密情報の自動ローテーションが停止し、静的な認証情報へのフォールバックで本来保護されたAPIへの不正アクセスを可能にする。

[後藤大地，有限会社オングス]

　「GitHub」で活動するユーザーアカウント名「AlexSvobo」は2025年5月24日（現地時間）、DNSサーバ「BIND」に存在する脆弱（ぜいじゃく）性（CVE-2025-40775）を利用し、ゼロトラスト環境におけるセキュリティ制御を回避する手法を公開した。

　「GitHub」に公開された実証用のリポジトリーではDNSサービスの障害を引き起こし、その影響によってNon-Human Identity（NHI）の秘密情報ローテーションが停止し、結果として静的な認証情報が使用される事態に陥ることが解説されている。

ゼロトラスト環境の裏口を開くBIND攻撃、今取るべき対策は？

　CVE-2025-40775はBIND 9バージョン9.20.0〜9.20.8および9.21.0〜9.21.7に影響する脆弱性で、細工されたTSIGレコード（DNSトランザクション署名）を含むDNSパケットを受け取るとサービスがクラッシュする。攻撃には認証が不要でインターネットに公開されたDNSサーバに対しても容易に実行可能とされている。深刻度は共通脆弱性評価システム（CVSS）v3.1のスコア値で7.5と評価されており、リモートからDoS攻撃を実現できる点で被害の拡大が懸念されている。

　公開されたデモンストレーションは、クラウドネイティブなセキュリティ環境を模倣したラボ環境を使用している。そこではパケット生成ツール「Scapy」によるDNSパケットの送信により、BINDがクラッシュ。DNSが停止したことでNHIクライアントはシークレットマネジャーへの接続に失敗し、「getaddrinfo failed」などのエラーを記録する。このとき、クライアントは自動ローテーションが不能となり、あらかじめ定義された静的なブレークグラス認証情報へとフォールバックする。

　この静的認証情報を使うことで、本来はゼロトラスト制御で保護されたAPIにアクセス可能になることが示唆されている。

　公開されたデモンストレーションは次のような一連の攻撃フェーズを想定している。

• DNSサーバのクラッシュ：　細工されたTSIGレコードを含むDNSクエリによりBINDを停止
• NHIのローテーション失敗：　DNS障害でシークレットマネジャーとの通信が断たれ、静的認証情報にフォールバック
• ゼロトラスト制御の回避：　静的認証情報を用いて本来保護されたAPIへアクセス

　公開されたデモンストレーションは、このようなプロトコル層の脆弱性がクラウド環境におけるゼロトラストの根幹を脅かし得ることを指摘するものだ。また、秘密情報のローテーションが失敗した際に備えた設計の重要性も浮き彫りにしたといえる。

　この問題への対処としては、静的なブレークグラス認証情報の使用を最小限にとどめ、DNSインフラの強化や異常な通信の監視、さらに障害時に安全に機能を制限する仕組みの導入が求められる。影響を受けるバージョンを使用しているシステムでは最新にアップデートすることも推奨されている。