JPCERT/CCは4月15日、DNSキャッシュポイズニング攻撃に関する注意喚起を発表した。

キャッシュDNSサーバーで問い合わせUDPポートのランダム化(ソースポートランダマイゼーション)が有効ではない場合に、キャッシュポイズニング攻撃が容易になる既知の脆弱性があるという。

この脆弱性を悪用したキャッシュポイズニング攻撃によって、第三者によってキャッシュDNSサーバーが偽のDNS情報で汚染される可能性がある。

日本レジストリサービス(JPRS)によると、JPRSが管理しているDNSサーバに対してソースポートランダマイゼーションが有効ではないDNSクエリがあることを確認しているという。また、この脆弱性を狙うアクセスが増加しているとISP事業者から報告を受けている。

該当するDNSサーバソフトウェアや製品を運用している管理者は、各ベンダからリリースされているパッチの適用や設定の変更などの対策を取るよう推奨している。

なお、対策を行なう場合には、「named.conf の設定」「ネットワーク機器におけるポートの再変換」「ファイアウォールの設定確認」の3点に注意が必要だという。

「named.conf の設定」では、BIND 9のDNSサーバーを使用している場合、named.confに「query-source port 53;」「query-source-v6 port 53;」のようなDNSクエリのソースポートを固定する設定が行われている可能性がある。このケースでは、バージョンアップ後に設定の変更を行わないとソースポートランダマイゼーションが有効にならない可能性がある。

「ネットワーク機器におけるポートの再変換」では、ファイアウォールやルータなど、ネットワーク機器のネットワークアドレス変換(NAT)機能によって、DNSサーバで行われるソースポートランダマイゼーションが無効になる可能性があるという。

また、「ファイアウォールの設定確認」では、対策後にDNSサーバからのクエリのソースポートがランダムになるため、ファイアウォールの設定などによっては、設定変更後のDNS サーバからの通信が制限される可能性がある。DNSサーバー設定を変更する場合には、事前にファイアウォールなどの設定を確認する必要がある。