DNSキャッシュポイズニングに対するパッチの適用状況を計測する

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008年08月18日 23時56分

  • このエントリーをはてなブックマークに追加

 Derek Callaway氏のゲスト寄稿

 この記事は、過去一ヶ月間のBIND名前サーバの更新状況に関する近似を提示することだ。最近の更新は、Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対応するために行われた可能性が高い。この調査を行ったのは、一般に対してUS-CERTが最初にこの脆弱性の性質とパッチが提供されていることを警告してから1ヶ月経過した状況で、どれだけのBIND名前サーバが更新されているかを知りたかったからだ。

 Kaminsky氏はBlack Hat Las Vegas 2008でのDark Readingのインタビューの中で、Fortune 500企業の70%がパッチを適用したと見積もっていた--しかし、インターネットの残りの部分についてはどうだったのか。私は初め、米国政府のネットワークに対してだけ名前サーバのバージョン問い合わせの調査を行うことを検討したが、そのままでも十分に説得力のある結果になるだろうと判断した。

(参照:Vulnerability disclosure gone awry: Understanding the DNS debacle

 この調査では、以下のような仮定を置いている。

  1. 名前サーバーが通知してくるバージョン番号とパッチレベルは正しい。
  2. 適切にパッチを適用した名前サーバーが、ポートアドレス変換ゲートウェイが原因で脆弱性を持つことはない。
  3. Open Directory Projectから得られたドメイン名は、BIND名前サーバ全体の代表標本である。

 従って、ここで示す計測結果は、概算としてしか扱うことはできない。この調査のために、私は次のような処理を行うbashのシェルスクリプトを書いた。Open Directory Projectのコンテンツファイルをダウンロードして、3文字のトップレベルドメインを持つドメインを無作為に選び、それらのドメインのDNSコンテンツサーバーに対してバージョンの問い合わせを行い、このBINDのバージョン番号からDNSキャッシュポイズニング脆弱性に関する修正が行われているかどうかを判定する。この処理を、1000件のドメイン名に対して行い、その結果を分析する。バージョンの問い合わせに対して適切な応答が無かった場合、例えばタイムアウトが生じたり、BINDのバージョン番号として正しくない文字列が返ってきた場合には、そのドメインのデータは破棄する。

(参照:DNSの脆弱性に対する攻撃コードが公開される

 私の調査結果は以下の通りだ。

2008年8月中旬のBINDのバージョン

 まず、調査結果を説明するために、いくつかの言葉を定義したい。「Un-Patched」(未パッチ)は、そのドメインの少なくとも1つの名前サーバが、DNSキャッシュポイズニング脆弱性を修正するパッチが未適用であることを意味する。従って、全体としてもCVE-2008-1447に対しては脆弱であると言える。「Out-Dated」(旧式)はそのドメインの少なくとも1つの名前サーバーが1年以上更新されておらず、CVE-2008-1447に加え、それ以前のCERTの勧告で指摘された問題に対しても脆弱であることを意味する。「Dinosaur」(時代遅れ)は、最後に更新されたのが2002年以前である名前サーバを持つドメインであることを示している。「Up-To-Date」(最新)は、そのドメインのすべての名前サーバーは最近更新されており、Kaminsky氏のCVE-2008-1447を含む公に知られているすべての脆弱性に対する対処が行われていることを意味する。

 上記の定義に従うと、現状は以下のようになる。

  • 950のドメインに脆弱性が存在
    • Un-Patched(未パッチ):319
    • Out-Dated(旧式):593
    • Dinosaurs(時代遅れ):38
  • 336のドメインが再帰クエリを行う名前サーバを持つ
    • そのうち、327がキャッシュポイズニング脆弱性を持つ
  • 69のドメインがゾーン転送を行う名前サーバを持つ
  • 50のドメインがUp-To-Date(最新)の状態

 事前に行ったテスト実行でも同様の結果が得られており、これらの数字は悪くない推定だという感触を持っている。繰り返すが、この実験の対象となったドメインは、デフォルトのVERSION.BIND文字列を返したものだけに限られている。それでも、この脆弱性がインフラとしてのインターネットの大きなセキュリティホールであり、かなり大きく報道され、パッチが公開されてから1ヶ月以上が経過していることを考えると、このパッチの適用が進んでいない状況はかなり深刻なものだ。

 このページで、この調査の実施方法を説明した。このページにシェルスクリプトの出力を示した。このページに、シェルスクリプトが実行したツールの出力を示した。

* Derek Callaway氏はコンピュータプログラマー兼セキュリティアナリストである。彼はアプリケーションやシステムアーキテクチャの分析、侵入テストなどを行っている時以外には、脆弱性の調査やセキュリティツールの開発を行っている。彼は現在、Security Objectivesの動的バイナリ分析ツールの開発チームに所属している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化