TCP の実装に脆弱性、インターネットの一部に影響の恐れ

この記事のURLhttp://japan.internet.com/webtech/20040422/12.html

米英両政府のセキュリティ機関は20日、インターネットを支える基本プロトコルの1つ『Transmission Control Protocol (TCP)』の実装に存在する脆弱性により、インターネットの一部が機能不全に陥るおそれがあるとして警告を発した。

英国の National Infrastructure Security Coordination (NISCC) が出したセキュリティ勧告によると、たとえば『Border Gateway Protocol (BGP)』対応ルーターなど、持続的な TCP セッションに依存するシステムへの影響が最も大きいという。この脆弱性の影響は、ベンダーやアプリケーションにより異なるが、運用状況次第では重大な脅威となり得ると NISCC は警告している。

Cisco Systems (NASDAQ:CSCO) および NISCC の技術者たちが最初に発見したこの脆弱性は、外部の攻撃者にネットワークセッションの中断を許してしまう。NISCC に加え、米国の US-CERT もセキュリティ勧告を出した。両勧告とも、同種の攻撃を繰り返せば、データ破壊、セッション乗っ取り、完全なサービス不能状態といった幅広い被害につながると警告している。

どちらの勧告も、ベンダーの対応状況を確認するよう勧めている。ネットワーク機器大手の Cisco や Juniper Networks (NASDAQ:JNPR) は、すでにそれぞれ『Cisco IOS』と『Juniper JunOS』用の修正を公開済みだ。

勧告ではベンダーが未対応の場合の回避策として、IPSEC を用いてネットワーク層でトラフィックを暗号化し、TCP 情報を隠蔽すること、副作用としてトラフィック効率が低下するが、TCP ウィンドウサイズを小さくすること、TCP ソースとなるポート情報を公開しないこと、以上3点を勧めている。

今回のセキュリティ勧告とほぼ同時に、Internet Engineering Task Force (IETF) は同種攻撃に対応するための案を公開していた。