DNSキャッシュポイズニングに対するパッチの適用状況を計測する

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2008-08-18 23:56

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 Derek Callaway氏のゲスト寄稿

 この記事は、過去一ヶ月間のBIND名前サーバの更新状況に関する近似を提示することだ。最近の更新は、Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対応するために行われた可能性が高い。この調査を行ったのは、一般に対してUS-CERTが最初にこの脆弱性の性質とパッチが提供されていることを警告してから1ヶ月経過した状況で、どれだけのBIND名前サーバが更新されているかを知りたかったからだ。

 Kaminsky氏はBlack Hat Las Vegas 2008でのDark Readingのインタビューの中で、Fortune 500企業の70%がパッチを適用したと見積もっていた--しかし、インターネットの残りの部分についてはどうだったのか。私は初め、米国政府のネットワークに対してだけ名前サーバのバージョン問い合わせの調査を行うことを検討したが、そのままでも十分に説得力のある結果になるだろうと判断した。

(参照:Vulnerability disclosure gone awry: Understanding the DNS debacle

 この調査では、以下のような仮定を置いている。

  1. 名前サーバーが通知してくるバージョン番号とパッチレベルは正しい。
  2. 適切にパッチを適用した名前サーバーが、ポートアドレス変換ゲートウェイが原因で脆弱性を持つことはない。
  3. Open Directory Projectから得られたドメイン名は、BIND名前サーバ全体の代表標本である。

 従って、ここで示す計測結果は、概算としてしか扱うことはできない。この調査のために、私は次のような処理を行うbashのシェルスクリプトを書いた。Open Directory Projectのコンテンツファイルをダウンロードして、3文字のトップレベルドメインを持つドメインを無作為に選び、それらのドメインのDNSコンテンツサーバーに対してバージョンの問い合わせを行い、このBINDのバージョン番号からDNSキャッシュポイズニング脆弱性に関する修正が行われているかどうかを判定する。この処理を、1000件のドメイン名に対して行い、その結果を分析する。バージョンの問い合わせに対して適切な応答が無かった場合、例えばタイムアウトが生じたり、BINDのバージョン番号として正しくない文字列が返ってきた場合には、そのドメインのデータは破棄する。

(参照:DNSの脆弱性に対する攻撃コードが公開される

 私の調査結果は以下の通りだ。

2008年8月中旬のBINDのバージョン

 まず、調査結果を説明するために、いくつかの言葉を定義したい。「Un-Patched」(未パッチ)は、そのドメインの少なくとも1つの名前サーバが、DNSキャッシュポイズニング脆弱性を修正するパッチが未適用であることを意味する。従って、全体としてもCVE-2008-1447に対しては脆弱であると言える。「Out-Dated」(旧式)はそのドメインの少なくとも1つの名前サーバーが1年以上更新されておらず、CVE-2008-1447に加え、それ以前のCERTの勧告で指摘された問題に対しても脆弱であることを意味する。「Dinosaur」(時代遅れ)は、最後に更新されたのが2002年以前である名前サーバを持つドメインであることを示している。「Up-To-Date」(最新)は、そのドメインのすべての名前サーバーは最近更新されており、Kaminsky氏のCVE-2008-1447を含む公に知られているすべての脆弱性に対する対処が行われていることを意味する。

 上記の定義に従うと、現状は以下のようになる。

  • 950のドメインに脆弱性が存在
    • Un-Patched(未パッチ):319
    • Out-Dated(旧式):593
    • Dinosaurs(時代遅れ):38
  • 336のドメインが再帰クエリを行う名前サーバを持つ
    • そのうち、327がキャッシュポイズニング脆弱性を持つ
  • 69のドメインがゾーン転送を行う名前サーバを持つ
  • 50のドメインがUp-To-Date(最新)の状態

 事前に行ったテスト実行でも同様の結果が得られており、これらの数字は悪くない推定だという感触を持っている。繰り返すが、この実験の対象となったドメインは、デフォルトのVERSION.BIND文字列を返したものだけに限られている。それでも、この脆弱性がインフラとしてのインターネットの大きなセキュリティホールであり、かなり大きく報道され、パッチが公開されてから1ヶ月以上が経過していることを考えると、このパッチの適用が進んでいない状況はかなり深刻なものだ。

 このページで、この調査の実施方法を説明した。このページにシェルスクリプトの出力を示した。このページに、シェルスクリプトが実行したツールの出力を示した。

* Derek Callaway氏はコンピュータプログラマー兼セキュリティアナリストである。彼はアプリケーションやシステムアーキテクチャの分析、侵入テストなどを行っている時以外には、脆弱性の調査やセキュリティツールの開発を行っている。彼は現在、Security Objectivesの動的バイナリ分析ツールの開発チームに所属している。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド
  2. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ
  3. クラウド基盤

    信頼性と生産性を両立するアプリ環境の構築とは--先進的なIT戦略に取り組むためのガイドブック
  4. セキュリティ

    初心者にも優しく解説!ゼロトラストネットワークアクセスのメリットと効果的な導入法
  5. セキュリティ

    経営陣に伝わりづらい「EDR」の必要性、従来型EDRの運用課題を解決するヒントを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. 結局のところ「アプライアンス」ってナニ?

  2. ソフトウェアの新たな開発手法、「アジャイル開発」って?

  3. スケールアウトとスケールアップ:サーバ処理能力向上の2つのアプローチ

  4. アップルの「Boot Camp」について知っておくべき3つのこと

  5. マイクロソフトのクラウドサービス「Windows Azure」とは?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]