SCAN DISPATCH ：ドメイン全般を10秒で乗っ取れるエクスプロイトが公開される

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　今月初頭にパッチが発行されたDNSの脆弱性は、DNSポイズニング（DNS Poisoning, DNS Cache Poisoning）と呼ばれ、株式会社ラックサイバーリスク総合研究所が2008年7月23日配信の「Scan Tech Report」の記事でも取り上げている。米国時間の7月23日深夜、エクスプロイトをアーカイブするなどの活動でペンテストのリソースとなっているメタスプロイトが、DNSポイズニングのエクスプロイトを二つ発表した。代表のValsmithは、「（箝口令がしかれていたが）仔細を推測するブログエントリも現れ、実際の詳報も手違いにより流出し、また発見者自身がインタビューでその経緯を公にしている。既にエクスプロイトも存在していることだし、この時点でエクスプロイトを発表するのはフェアだと考えた」とサイトのブログで述べている。

メタスプロイト
http://www.metasploit.com

　発表されたエクスプロイトは二つあり、一つ目は「このエクスプロイトは、一つの悪意のあるホストのエントリを、ターゲットとするネームサーバにキャッシュできる」ものである。そして、3時間後に発表された二つ目のものは「一つの悪意のあるホストのエントリを、ターゲットとするネームサーバにキャッシュすることにより、そのネームサーバはターゲットとなるドメインの正規のネームサーバを置き換えることができる」ものだ。つまり、一つ目は「www.──.com」という、一つのアドレスをハイジャックできるが、二つ目のエクスプロイトは「.──.com」に属する全てのドメインをハイジャックできる、より深刻なエクスプロイトである。

　今、アメリカのセキュリティ業界はこの脆弱性の話題でもちきりだ。その理由を説明してみよう。

　この脆弱性を発見したのは、IOActive社のDirector of Penetration Testingのダン・カミンスキー氏。彼はここ数年、Voice Over DNS、DNS Rebindingなど、DNSについての研究を次々と発表してきた。彼はこの脆弱性に「6ヶ月ほど前に気がついた」（wired.comのインタビュー）そうだ。そして「....たった数秒でDNSキャッシュを書き換えることができる」と分かり、問題の深刻さに驚いて数人の専門家と相談した結果、その深刻さ故に、全世界のベンダーの協力を仰ぐために「DNSのベンダーのサミットを催す必要がある」と判断。その旨をマイクロソフトに相談したところ、快くOKが出て、3月31日、マイクロソフト本社に全世界から16人の専門化が集まって解決案を相談した。

　そのサミットで決定されたのは、CERTやベンダーの協力を得てパッチを作り、一斉にリリースするが、脆弱性の仔細については、ダン・カミンスキー氏がBlackHat USAでスピーチするまで誰も公開しない、ということだった。CERTはアドバイザリーを出版、DNSのベンダーに通知し、各国のCERTにもその旨の通知を行った。カミンスキー氏も7月24日に行われたWebセミナーで「これほどの広範囲のベンダー協力を得たパッチは史上初だ」と言っている。

　そして7月8日、パッチが公開された。これで「パッチが入れば全て良し」となれば良かったのだが、予定通りにはいかなかった。これが、セキュリティ業界が未だにこの話題で大騒ぎになっている理由だ。またもう一つの理由として、「脆弱性の仔細は誰も公開しない」という箝口令がしかれたことがある。カミンスキー氏はつまり、「この脆弱性の深刻度については僕を信頼してパッチを当てて欲しい」と言ってるわけで、本人も「非常に理にかなわない要求なのは分かっている」と認めている。それに対して業界からは、「そんな深刻な問題ではないはずだ」「マスコミに騒がれているだけ」「実際にテストできるエクスプロイトも技術的仔細も無しにパッチを当てろとはバカげてる」と言った声が聞こえた。セキュリティ業界が、フル・ディスクロージャーから責任あるディスクロージャーに変遷したとはいうものの、パッチのリリースと同時に箝口令が解除になるのが現在のしきたりとなっている。DNSというインターネットの重要な一部、それも単なるバグでなく設計自体の問題点に対するパッチという、非常に時間と労力がかかるパッチ当て作業は「俺を信用しろ」だけではできない、というのはもっともであろう。実際にこのDNSポイズニングとカミンスキー氏は、セキュリティ業界のイグノーベル賞であるPwnie賞の「マスコミに騒がれただけでたいしたこと無かったバグ」に、ノミネートされたほどだった。

　この箝口令についてカミンスキー氏は「「箝口令は無いだろう」と怒っているのは自分でこの脆弱性を探りだせない人たちで、既に気がついた人たちは僕の箝口令に賛同してくれてている」と言っている。カミンスキー氏その他数人の専門家だけでなくCERTや多くのベンダーが深刻と考えている脆弱性について、それも、「全てのISP、全ての電子メールプロバイダー、ベンダーから何からの協力が必要な膨大なパッチ当ての作業」を遂行するために、パッチのリリースから30日間仔細を伏せておくのは、理にかなった処置と言えるかもしれない。

　ところが、その30日という「パッチ当て期間」がいきなり13日に縮まった”事件”が起こった。7月21日のことだ。

【執筆：米国　笠原利香】

【関連記事】
SCAN DISPATCH ： DNS脆弱性の仕組を発見者のダン・カミンスキー氏が公開
https://www.netsecurity.ne.jp/2_11913.html

SCAN DISPATCH ：コンピュータセキュリティのイグノーベル賞？
https://www.netsecurity.ne.jp/2_11822.html