「DNS には今でも危険性が残る」Kaminsky 氏が警鐘

セキュリティ研究者の Dan Kaminsky 氏には使命がある。同氏の目標は、以前から広範囲に影響を与えうる脆弱性について警告しているにもかかわらず、いまだに DNS (Domain Name System) に残る危険性に関して、世界に警鐘を鳴らすことだ。

セキュリティ関連のカンファレンス『Black Hat DC 2009』に登壇した同氏は、ドメイン名と IP アドレスを結び付けるシステムである DNS に発見した脆弱性については、パッチが未適用のサーバーがかなりあるうえに、今では実際に悪用されるケースも発生していると指摘した。

Kaminsky 氏が DNS の脆弱性を発見したのは2008年のことだった。未対策の場合、このセキュリティホールは多岐にわたる影響を及ぼす恐れがある。キャッシュ汚染攻撃を許す脆弱性を使えば、攻撃者は DNS サーバーを欺き、インターネット ユーザーを任意のアドレスに導くことが可能になる。これはインターネット全体をリスクにさらす攻撃だ。

同氏は大手ネットワーク ベンダーと協力してこの問題を修正するパッチの作成に取り組み、その後、2008年にラスベガスで開催された Black Hat カンファレンスでこの DNS 脆弱性について発表した。

Kaminsky 氏は19日に、当初は1年後の時点で全 DNS サーバーの50％が修正されると予測していたと述べた。実際には、同氏自身の調査によると、半年後でおよそ66％という数字に達したとのことだ。

それでもまだ不安は残るという。Kaminsky 氏は、ジョージア工科大学の研究チームが、過去6カ月間にわたり DNS サーバーの感染率を監視している件に言及した。同氏は具体的な数字を示さなかったが、2009年1月以来、感染したサーバー数が増加していると語った。

同氏はさらに、現在では DNSSEC (DNS Security Extensions) が DNS のセキュリティを高める最適な方法だとの考えを明らかにした。DNSSEC は DNS に暗号化機能を付加し、ドメイン情報のセキュリティと正当性を確保する。Kaminsky 氏が最初に DNS の脆弱性について公開した当時も、多くのセキュリティ専門家が DNSSEC の実装を推奨していた。

しかし、DNSSEC の実装には難しい点があることも、Kaminsky 氏は指摘した。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール