DNSの脆弱性の情報開示
どうもDNSが大変なことになっているようだ。専門家でなければ、なかなか理解できないし、直接対処のしようもない。ごく最近、DNSサーバーの移転で苦労した経験からすると、かなり頭の痛い問題である。影響がごく一部ではなく、インターネット全体に渡ることだからである。
DNS脆弱性、発見者の意図に反して詳細が明らかになった事情(CNET Japan) DNSの脆弱性に対する攻撃コードが公開される(ZDNet Japan) 脆弱性の情報開示はいかに失敗したか:DNS同時パッチの問題を理解する DNS脆弱性の詳報が手違いで流出(ITmedia)
セキュリティホールや脆弱性の発見と、それに対処するベンダーなりから提供されるパッチが公開されるまでにはタイムラグがある。公開されても管理者が事実上不在のサーバーなどであると、対応はさらに遅れる。万が一、その間に攻撃を受けたとしても気が付かずにいることも考えられる。
DNSの脆弱性(Vulnerability)とのことであるから、単純なバグであるセキュリティホールよりも事態は深刻である。今回は最初の発見者(ハッカー)がパッチが用意されるまで、この脆弱性を秘密裏にして、対応が完了できたところで公開するつもりだったらしい。危険なタイムラグの間を情報非公開によって対処しようとしたわけである。ところが、このようなやり方をよくは思わなかった他のハッカーが、部分的な情報からその秘密情報を推測し、その内容を事前に公開してしまった。推測が正しかったために、一気にその脆弱性を衝かれる可能性が高くなり、実際にそのようなコードさえ公開されているのだという。このへんのハッカーの世界のやりとりはよく理解できないが、きわめて人間関係的な脆弱性といえそうだ。
さてDNSサーバーへのパッチ当てが急がれるが、まだ上位のDNSにあたるISPのDNSサーバーにも対処は進んでいないようである。個別のDNSサーバー、特にBINDのバージョンごと、あるいはLinuxのディストリビューションごとにもすぐにパッチが用意されるかも疑問である。
たとえパッチを当てたとしても、根本的な解決にはならないという。それがDNSのしくみそのもの(プロトコル)に由来する脆弱性だからである。他のプロトコルであれば、そのようなプロトコルは使わないで済ますという選択肢もあるが、DNSの場合はそうもいかない。いわばインターネットの根幹に関わる脆弱性といってもよいのではないか。
ハッカーもクラッカーも技術もアイデアも紙一重であり、まさにネット上には善の光と悪の影が渦巻いているように感じられる。所詮、人間がやることには違いはないのだが。