警察庁、BIND 9の脆弱性を標的とする攻撃活動を観測、アップデートの適用を

　Internet Systems Consortium（ISC）が開発・提供するDNSソフト「BIND 9」におけるサービス運用妨害（DoS）攻撃に悪用可能な脆弱性（CVE-2016-2776）が9月28日に発表されていたが、10月3日には実証コードがインターネット上に公開され、4日18時以降には警察庁の定点観測システムにおいて、これを標的としたアクセスが観測されている。

　警察庁では、UDP 53番ポート（DNS応答パケット）宛に細工したDNSリクエストを送信するアクセスを観測している。リクエストの内容は、公開された実証コードを基にした攻撃ツールで送信されるものの末尾に、1バイトのデータが付加されたもので、このリクエストを受信した際にも、脆弱性の影響を受けるバージョンのBINDが異常終了したという。

　脆弱性の対象となるのは、すでにサポートが終了しており、修正パッチがリリースされていない9.8以前の系列を含む「9.0.0」以降のすべてのバージョン。

　観測されたアクセスの発信元IPアドレスはバラバラで、通常のアクセスではありえないプライベートアドレスなども存在しており、警察庁では偽装されたものと推測している。

　キャッシュDNSサーバー／権威DNSサーバーの両方が脆弱性の対象となるほか、単一のUDPパケットだけでnamedを異常終了されられる上、特定の発信元IPアドレスからのリクエストのみを許可する設定では攻撃を回避できず、そのほかの設定変更による一時的な回避策も存在しない。広範囲に影響があり、早急な対策が必要となるため、BINDのバージョンを確認の上、最新バージョンへのアップデートを適用することが推奨される。

　なお、DNSサーバー機能を実装するためにBINDが組み込まれた機器も存在するため、警察庁では開発元からの対策方法が公表されているかどうかを確認するよう促している。