インフラセキュリティの処方箋

第27回 2016年10月~BINDの脆弱性(CVE-2016-2776)公開,「情報処理安全確保支援士」登録受付開始

この記事を読むのに必要な時間:およそ 3 分

BINDの脆弱性(CVE-2016-2776)公開と,脆弱性公開後の状況

さる2016年9月27日,BINDの脆弱性の1つCVE-2016-2776が公開されました。

CVE-2016-2776: Assertion Failure in buffer.c While Building Responses to a Specifically Constructed Request
https://kb.isc.org/article/AA-01419

この脆弱性,細工されたリクエストを脆弱性のあるBINDで構成されたDNSに送りつけると,DNSが停止するというものでした。UDPパケットを一発送信するだけでDNSが落ちる,かなりわかりやすいDoS脆弱性であり,対象となる脆弱性がある場合は設定などで回避を行えず,対処方法も脆弱性を修正したバージョンに差し替える以外にないという,実に豪快なものでした。

このアナウンスを受けて,JPRSは脆弱性に関する注意喚起を出しています。これが2016年9月28日のことです。

(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2776)
https://jprs.jp/tech/security/2016-09-28-bind9-vuln-rendering.html

ところがこの脆弱性,5日後の2016年10月2日にはPoCが公開されていました。

infobyte/CVE-2016-2776
https://github.com/infobyte/CVE-2016-2776
infobyte/CVE-2016-2776のコミット状況
https://github.com/infobyte/CVE-2016-2776/graphs/contributors

Metasploitのモジュールとしても動くように実装しようとしているものもあります。

DoS exploit for CVE-2016-2776
https://github.com/rapid7/metasploit-framework/pull/7382/files/143a4af73de8e916de8c125ca132be43e9c3c5a3

そして,この脆弱性を用いた無差別攻撃が行われている旨,警察庁からも注意喚起が出されています。

BINDの脆弱性(CVE-2016-2776)を標的とした無差別な攻撃活動の観測について
https://www.npa.go.jp/cyberpolice/detect/pdf/20161005.pdf

もともと名前解決のしくみは,特定の権威DNSが停止してもその影響がすぐに出ない(出にくい)ように設計されています。そして,特定のドメイン情報を提供する権威DNSサーバは,通常は複数設置されているため,複数のDNSのいずれかが停止してもすぐには影響はでないと言われています。このため,脆弱性を突かれた結果,権威DNSサーバの1つが機能を停止しても,ほかの権威DNSサーバが動作している限りはドメイン情報を提供可能です。

とはいえ,脆弱性は脆弱性ですし,ドメイン情報を提供する権威DNSサーバがすべて落ちた場合などは,ドメインの名前解決を行えないなどの影響が出ます。

異常終了した場合はDNSを自動再起動するなどのしくみを導入しているところもあるでしょうが,攻撃の仕方が非常に簡単で,かつUDPパケットを送りつけるだけなので,送信元偽装も容易です。対処可能な脆弱性を対処せず放置しているようなDNSを使っているドメインは,他の脆弱性の存在を疑われ,狙われる可能性もあるので,可能な限り対処しておきましょう。

「情報処理安全確保支援士」,制度設計は悪くないものの,実装に課題?

2016年10月24日に,国家資格「情報処理安全確保支援士」(以下「支援士」と称します)の登録受付が開始されました。この資格は,「サイバーセキュリティに関する実践的な知識・技能を有する専門人材の育成と確保」を目的に創設されたものです。

国家資格「情報処理安全確保支援士」
http://www.ipa.go.jp/siensi/index.html

この資格は,以下の①②いずれかの条件を満たすことで,登録資格を有します。

ただし,①は現時点でまだ試験が開始されていないため,現時点で登録可能なのは②の条件を満たす人のみとなりますが,②の条件は,制度開始から2年間の経過措置期間のみ有効(2018年8月19日申請締切)であり,これ以降は登録資格を有しないことになります。

  • ①平成29年(2017年度)春期試験から実施予定の「情報処理安全確保支援士試験」の合格者
  • ②「情報セキュリティスペシャリスト試験」または「テクニカルエンジニア(情報セキュリティ)試験」合格者(合格年度問わず)

制度をちょっと読むと気づく人もいるかもしれないですが,支援士の制度は,技術士の制度と似ているところがあります。名称独占資格であるところなどは,その典型です。

名称独占資格である支援士に,どこまで期待できるか?

サイバーセキュリティに関する業務を行うために,支援士の資格が必要か?というのは気になるところだと思いますが,結論から言うと「必要ありません」。名称独占資格は,あくまで資格保持者が「情報処理安全確保支援士」という肩書を使用することを,法的に担保するだけであり,この資格を保持していないからといって,サイバーセキュリティに関する業務を行えないということにはなりません。

ただし,システム構築や運用をはじめとする各種案件の入札要件などに,支援士がいることを求めるケースも出てくるでしょうから,官公庁によるものをはじめとする公開入札案件を請けようとするのであれば,資格者を揃える必要が出てきます。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入