Japan Registry Services

日本レジストリサービス(JPRS)から、広範囲に影響があるDNSサービスの脆弱性「幽霊ドメイン名 (Ghost Domain Names)」に関する情報が発表された。ISCは2月7日(米国時間)、BIND 9系のすべてがこの問題の影響を受けるとして「重要度(Severity): 高(High)」でこの問題を報告しているが、今回JPRSから発表された内容は、この問題の内容をより詳しく日本語で紹介したものとなっている。

「幽霊ドメイン名 (Ghost Domain Names)」と名付けられたこの問題は、親ゾーンのNSレコードを削除しても、それがキャッシュDNSサーバに反映されないように細工できるケースがあるという内容になっている。このやり取りを実現するための方法がプロトコルとして明確に規定されていないことに原因がある。影響を受けるのはキャッシュDNSサーバのみ。公表された情報によれば、この脆弱性の影響を受けるのは次のDNSサーバ。

  • 問題発表時のBIND 9系すべてのバージョン
  • dnscache 1.05
  • Unbound 1.4.7
  • PowerDNS recursor 3.3
  • Windows Server 2008に付随するMicrosoft DNS

また次のパブリックキャッシュDNSサービスもこの脆弱性の影響を受けると説明がある。

  • DNS Advantage
  • OpenDNS
  • Norton DNS
  • GTEI DNS

影響を受けないDNSサーバやDNSサービスとしては次の項目が紹介されている。

  • Unbound 1.4.8+
  • MaraDNS
  • Windows Server 2008 R2に付随するMicrosoft DNS
  • Google Public DNS

もともとの調査では、調査対象のうち70%以上のサーバがこの脆弱性の影響を受けたとの報告があると説明されている。この問題を根本的に解決する方法はないが、定期的にキャッシュデータをクリアするといった方法で危険性を軽減できると説明がある。