DNSサーバーの実装に脆弱性、“幽霊ドメイン名”がキャッシュされ続ける

Haixin Duan氏らによる学術論文「Ghost Domain Names: Revoked Yet Still Resolvable」は、ISCのウェブサイトにも掲載されている

　DNSサーバーのキャッシュ更新のポリシーの取り扱いに問題があり、「BIND」を含む複数の実装において、“幽霊ドメイン名”が発生することがわかった。2月9日現在、根本的な対策方法はないという。

　脆弱性情報サイト「JVN（Japan Vulnerability Notes）」が2月9日付で脆弱性レポートを公開した。同レポートによると、上位ドメインの権威サーバーで委任情報が削除されたドメイン情報が、キャッシュサーバー上では有効な情報として使用され続ける可能性がある。

　例えば、フィッシングサイトに使われているドメイン名の名前解決ができないようにするための措置として、上位ドメインの権威サーバーにおいてそのドメイン名の委任情報を削除する方法があるが、これに対抗し、そのドメイン名のリソースレコードをキャッシュに残すのを狙った攻撃に悪用されることも想定される。

　この脆弱性の攻撃手法が、中国・清華大学のHaixin Duan氏らによる学術論文「Ghost Domain Names: Revoked Yet Still Resolvable」としてまとめられ、米国で開催された「NDSS Symposium 2012」で2月8日に発表された。BINDを開発するISC（Internet Systems Consortium）では、同シンポジウムで発表が行われるのに先立ち、2月7日付で急きょ、セキュリティアドバイザリを出すに至った。

　ただし、この脆弱性はBINDの脆弱性というわけではなく、他の実装にも存在するという。論文では、「BIND 9.8.0-P4」のほか、「DJB dnscache 1.05」「Unbound 1.4.7」「PowerDNS Recursor 3.3」、Windows Server 2008の「Microsoft DNS」や、公開DNSサービスである「DNS Advantage」「OpenDNS」「Norton」「GTEI DNS」なども該当するとしている。

　一方、より新しいバージョンである「Unbound 1.4.11」や、Windows Server 2008 R2の「Microsoft DNS」、また「Google Public DNS」にはこの脆弱性はないという。

　こうした事情からISCでは、この脆弱性はDNSプロトコルの解釈および実装の問題であると判断。現段階では、BINDの緊急パッチは提供しないこととしている。

　なお、標的となるキャッシュDNSサーバーがオープンリゾルバーであった場合、攻撃者が外部から簡単に攻撃を仕掛けられるという。ISCでは、現段階で可能な最も効果的なリスク軽減策は、不適切なキャッシュ済みリソースレコードがあった場合、キャッシュデータをクリアすることだとしている。