DNSキャッシュ汚染問題にみる脆弱性の公開と対処(2/2 ページ)
7〜8月かけてインターネットの世界に巻き起こった「DNSキャッシュ汚染」の問題。この問題を担当したセキュリティ研究者のダン・カミンスキー氏が、脆弱性公開と対処に関するプロセスを語った。
思わせぶりはいけない
US-SERTによるアナウンスの後、カミンスキー氏はさまざまな開発者コミュニティーに対して、「30日間はこの問題に触れないでほしい」と説得を呼び掛けた。多くのコミュニティーが同氏に賛同したが、一部の研究者は脆弱性の詳細が何であるかを明らかにすべく、直ちに分析作業を始めてしまったという。
7月21日に、一部の研究者がDNSプロトコルの脆弱性についての推論を明らかにし、プロジェクトに対して推論が正しいものであるかを尋ねた。問いかけに対して、プロジェクトは回答を示さなかったが、推論で指摘した内容が完全に誤ったものではないと知らせた。
この研究者は成果をインターネットに公開したが、その情報を見た第三者がDNSプロトコルの脆弱性を悪用する手段を開発し、DNSサーバに対して攻撃を仕掛けるようになったという。
「この問題をわたしの周囲だけにとどめてしまったのがいけなかった。むしろ、積極的に公開して研究者たちの協力を仰ぎ、みんなでこの問題に対処していくべきだったかもしれない」(カミンスキー氏)
同氏はこうした点を振り返りつつ、修正パッチを足並みをそろえてリリースするようにしたことは評価できる点だと述べている。
セキュリティは「完全」と「不完全」の狭間に
DNSプロトコルは1983年に登場し、現在のインターネット普及に大きな役割を果たしてきた。今回発見された脆弱性は、日進月歩のIT世界からみれば非常に古い時代の技術力に起因する。
「一般的にみると、“完全”に近い技術は使い勝手が悪いものになる。逆に不完全でスケーラビリティのある技術は使い勝手の良いものだ。社会で運用される場合には、得てして使い勝手が優先される」(同氏)
今後のインターネット世界におけるセキュリティの向上について、カミンスキー氏は技術の「完全性」をどこまで追求し、それを社会全体でどのように受け止めていくか議論する必要があると指摘する。その上で将来の利用形態を見越しながら、技術のセキュリティレベルのあり方について考えていくべきだという。
カミンスキー氏は、DNSプロトコルの脆弱性問題以外にも、例えばSSL VPN技術について落とし穴が存在するなどの問題を提起している。「インターネット取引などでSSL VPN接続が使われるが、“SSL VPNであれば安心だ”と誤っている人が多い。SSL VPNは通信データを保護するだけで、接続先の相手が正しい人物だとは何ら保証していない」(同氏)
インターネット上には無数のセキュリティホールが存在しているが、カミンスキー氏は利用者がインターネット技術のリスクを正しく認識して、「安全に利用するための意識が持てる環境作りを進めてほしい」と呼びかけている。
関連記事
- 初夏にネームサーバ管理者を襲う「毒混入事件」
複数のDNSソフトウェアにおけるDNSキャッシュポイズニングの脆弱性について、改めて注意喚起が行われている。リソースレコードのTTLが極端に短いネームサーバの管理者は特に、すべてのネームサーバ管理者は週末を迎える前に再度チェックしておきたい。 - DNS脆弱性の詳報が手違いで流出
DNSキャッシュポイズニング攻撃を仕掛けられると、ユーザーが悪質サイトに誘導される恐れがあり、DNSサーバ運営者は緊急な対処が必要だ。 - BIND9のパッチ公開、DNSキャッシュポイズニング攻撃に対処
ISCはDNS攻撃に対する耐性を高める狙いでBINDのアップデートを公開したが、完全解決のためにDNSSECの早期導入を促している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.