編集部からのお知らせ
HCIの記事をまとめた資料ダウンロード
記事集:クラウドのネットワーク監視

カミンスキー氏、DNS脆弱性について詳細を公開--Black Hatカンファレンスで - (page 2)

文:Tom Espiner(ZDNet.co.uk) 翻訳校正:矢倉美登里、緒方亮、福岡洋一

2008-08-08 12:21

 DNSの脆弱性に関連した危険を軽減するため、数多くのベンダーが自社製品について、主にポート番号のランダム化を中心とした修正パッチを公開している。Kaminsky氏によるとこれには効果があるとのことで、Nominumのキャリアなどは修正パッチで保護されている。「Bind」の実装にもパッチが適用され、またMicrosoftの自動更新は「たくさんのユーザーに行き渡った」という。

 Fortune 500企業の70%はメールサーバのテストとパッチ適用を終えており、61%はメール以外のサーバにパッチを当てている、とKaminsky氏は語った。

 しかし、セキュリティの専門家であるケンブリッジ大学のRichard Clayton氏はZDNet.co.ukに対し、パッチとランダム化はある程度までの効果しかないと説明した。

 「パケットのIDはランダム化できるし、ポート番号もランダム化できるが、残念なことにランダム化には誕生日のパラドックスがある」とClayton氏は言う。「部屋に20人いるとしたら、そのうち2人が同じ誕生日である確率はけっこう高い。あなたがランダムに番号を選び、攻撃者もランダムに選ぶとき、これが問題になる。あなたが2の16乗(65536)通りの中から1つを選ぶのに対して、攻撃者が2の16乗の平方根、つまり2の8乗(256)個の割合で偽の要求を送信すれば、乗っ取りに成功する確率が50%あることになる」

 ランダム化は問題を軽減するが、本質的には単に「攻撃者がエントロピーを乗り越えるのに十分な速さでパケットを送信できるようになる恐怖の日を先送りする」だけのものだ、とClayton氏は述べた。

 Clayton氏によると、「本当の」解決策と言えるのは、あまり正確でない要求を大量に受け取ると、サーバがそれに気づいて「疑り深く」なり、なりすましができないTCPを使った通信のみ行うようにする、というものだ。さらなる解決策としては、暗号化によってDNSのセキュリティを拡張する仕様の1つであるDNS Security Extension(DNSSEC)を通信事業者が採用することが考えられる、とClayton氏は語った。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]