DNS の重大な脆弱性を突く攻撃が発生、早急にパッチを適用すべき

およそ3週間前、セキュリティ研究者の Dan Kaminsky 氏は、インターネットの一部を麻痺させかねない重大な脆弱性が DNS に見つかったことを、米国のコンピュータ セキュリティ対策機関 US-CERT と共同で公表した。その公表時点では、DNS ユーザーが30日以内にパッチをあてることを期待し、同氏は脆弱性の詳細を示さなかった。しかしその猶予も、残すところ1週間余りだ。

そして Kaminsky 氏は24日、セキュリティ関連カンファレンス『Black Hat』の Web キャストにおいて、この DNS の脆弱性を悪用した実効性のある攻撃が発生していることを認めた。すでに攻撃コードは、悪質コード開発/評価フレームワーク『Metasploit』で簡単に利用できるモジュールとなっており、特別な技術を持たない者でも手を出せる状態にある。

攻撃が実際に起こっていることから、この脆弱性を修正するパッチを適用していない数百万台の DNS キャッシュ サーバーは、キャッシュ汚染攻撃を受ける恐れがある。

「この脆弱性の攻撃方法を誰が漏らしたかは問題ではない。われわれは現実問題として、ネットワークに対する実在の脅威を眼前にしている。この点こそが大きな問題だ」と Kaminsky 氏は述べた上で、「誰がいつ何を漏らしたかなど、どうでもよい。今そのようなことは問題ではない。肝心な点は、皆パッチを適用する必要があるということだ。われわれは大きな困難に直面している。この攻撃は実効性を伴って発生しているのだから」と警告した。

Kaminsky 氏はセキュリティ研究者に対して、この脆弱性を悪用するコードを試したり作ったりしないよう求めていたが、これが無理な要求だということは承知していた。そのため、セキュリティ関係者の大半が Kaminsky 氏の要求に賛同した点について、同氏は称賛を表した。

この脆弱性の影響を受ける可能性のある人の数について、Kaminsky 氏はある程度の目安を示している。同氏が8日に掲載したツールから得たデータに基づくと、今回の脆弱性に対するパッチが初めて公開された時点で、同氏のサイトにアクセスした人々の86％が脆弱性の影響下にあったが、24日の時点では、完璧には程遠いものの、その数が52％に減少していたという。