インターネット危機一髪！DNSセキュリティ欠陥「KeyTrap」発見、広範囲ダウンの恐れ

Last Updated on 2024-06-16 10:52 by 門倉 朋宏

ATHENE国立応用サイバーセキュリティ研究センターの研究チームが、DNS（ドメインネームシステム）のセキュリティ拡張における根本的な設計欠陥を発見した。この欠陥は、特定の条件下でインターネットの広範囲にわたるダウンを引き起こす可能性がある。この脆弱性は「KeyTrap」と名付けられ、CVE-2023-50387として追跡されている。DNSSEC拡張を使用してトラフィックを検証するDNSサーバー実装に対して、単一のパケットを送信することで、サーバーを解決ループに陥らせ、その計算能力をすべて消費させて停止させることができる。

複数のDNSサーバーが同時にKeyTrapで悪用された場合、広範囲にわたるインターネットのアウトが発生する可能性がある。テストでは、攻撃後にDNSサーバーがオフラインのままでいる時間は異なるが、最も広く展開されているDNS実装であるBind 9は最大16時間停止する可能性がある。

北米におけるDNSサーバーの34%が認証のためにDNSSECを使用しており、この欠陥の影響を受ける可能性がある。しかし、現時点でこの脆弱性が積極的に悪用された証拠はない。ATHENEはKeyTrapを「アルゴリズム複雑性攻撃」という全く新しいクラスのサイバー攻撃として位置づけている。

研究チームは過去数ヶ月間、GoogleやCloudflareを含む主要なDNSサービスプロバイダーと協力して、公表前に必要なパッチを展開した。これらのパッチは一時的な修正であり、チームはDNSSECの設計を完全に見直すために標準を改訂する作業を進めている。DNSサービスの提供者には、この重大な脆弱性を軽減するために、直ちにこれらのパッチを適用することが強く推奨されている。

【ニュース解説】

ドメインネームシステム（DNS）は、インターネット上でウェブサイトのURLをIPアドレスに変換し、ユーザーが求める情報に迅速にアクセスできるようにする重要な役割を果たしています。しかし、最近、ドイツのATHENE国立応用サイバーセキュリティ研究センターの研究チームが、DNSのセキュリティ拡張であるDNSSECにおける24年前から存在するセキュリティ脆弱性「KeyTrap」を発見しました。この脆弱性は、特定の条件下でDNSサーバーを解決ループに陥らせ、サーバーの計算能力をすべて消費させて停止させることが可能で、広範囲にわたるインターネットのアウトを引き起こすリスクがあることが明らかになりました。

この発見は、インターネットの基盤技術に潜むリスクを浮き彫りにし、サイバーセキュリティの分野における新たな課題を提示しています。特に、北米においてDNSSECを使用しているDNSサーバーが34%にも上ることから、この脆弱性の影響範囲は非常に広いと言えます。ただし、現時点でこの脆弱性が積極的に悪用された証拠はないとのことです。

ATHENEの研究チームは、この脆弱性を「アルゴリズム複雑性攻撃」と名付け、これまでにない新しいクラスのサイバー攻撃と位置づけています。この種の攻撃は、DNSSECのようなセキュリティ機能を悪用し、インターネットの基盤を揺るがす可能性があるため、今後のサイバーセキュリティ対策において重要な考慮事項となります。

研究チームは、GoogleやCloudflareなどの主要なDNSサービスプロバイダーと協力して、この脆弱性に対する一時的なパッチを展開しました。しかし、これらのパッチは一時的な解決策に過ぎず、DNSSECの設計を根本から見直す必要があるとしています。このような取り組みは、インターネットの安全性を確保するために不可欠であり、DNSサービスの提供者には、提供されたパッチを直ちに適用し、脆弱性を軽減することが強く推奨されています。

このニュースは、インターネットの安全性を確保するためには、古い技術に潜むリスクに常に注意を払い、最新のセキュリティ対策を迅速に適用することの重要性を示しています。また、サイバーセキュリティの分野では、新たな脅威に対応するための継続的な研究と技術開発が求められています。このような研究活動は、インターネットを利用するすべての人々の安全を守るために不可欠であり、今後も注目されるべき分野です。

from 'KeyTrap' DNS Bug Threatens Widespread Internet Outages.