DNSSECの設計上の脆弱性により、単一のDNSパケットがドメイン名の解決を提供するサーバーの処理能力を使い果たし、サーバーを無効化する可能性があることが明らかになった。DNSSECは、DNSのアップグレード版であり、クエリの結果が途中で改ざんされないようにするために暗号化を使用している。このセキュリティホールはKeyTrapと呼ばれ、公開DNSサービスを停止させることが可能である。KeyTrapの攻撃は非常にステルスであり、単一のDNS応答パケットでリゾルバを170秒から16時間まで停止させることができる。この脆弱性は、BIND 9 DNSリゾルバやUnbound DNSリゾルバなど、さまざまなDNSソフトウェアに存在している。
KeyTrap攻撃により、DNSSECを利用しているクライアントはホスト名をIPアドレスに安全に解決できなくなり、接続の喪失や通常のDNSへのダウングレードが発生する可能性がある。DNSの停止は、コンテンツへのアクセスの拒否だけでなく、スパム防御や暗号防御、インタードメインルーティングセキュリティなど他のシステムにも干渉する可能性がある。KeyTrap攻撃の潜在的な被害は、ウェブブラウジング、メール、インスタントメッセージなどのインターネットを利用するアプリケーションに深刻な影響を与える可能性がある。
KeyTrap攻撃は、特別に作成されたDNSSECレコードを使用してDNSリゾルバを停止させる。DNSSECの仕様により、リゾルバは利用可能なすべての暗号化素材を送信し、バリデーションが成功するまで受信した暗号化素材のいずれかを使用する必要がある。KeyTrap攻撃は、衝突するキータグと衝突するキーを提示することでCPUを過負荷にすることができる。
KeyTrapの脆弱性に関する情報は、関連するベンダーや主要な公開DNSプロバイダーと共有され、パッチのリリースが調整された。KeyTrapの脆弱性に対するパッチは、さまざまなベンダーによって提供されており、BIND 9 DNSソフトウェアなどで修正されている。しかし、この脆弱性を完全に解消するには、DNSSECの標準を改訂する必要があるが、解決は容易ではない。
2023年12月時点で、世界中のWebクライアントの約31%がDNSSECを検証するDNSリゾルバを使用している。DNSSECを利用しているクライアントはKeyTrap攻撃の影響を受け、ホスト名をIPアドレスに安全に解決できなくなる可能性がある。GoogleやCloudflareなどの公開DNSサービスもKeyTrap攻撃の影響を受け、サービスの停止が起こる可能性がある。DNSSECの普及と影響範囲については、改善が必要とされている。
【ニュース解説】
DNSSECとは、インターネット上でドメイン名をIPアドレスに変換する際に使用されるシステムで、その安全性を高めるための拡張機能です。しかし、最近発見されたKeyTrapと名付けられた脆弱性により、DNSSECを提供するサーバーが単一のDNSパケットによって過負荷に陥り、機能停止するリスクがあることが明らかになりました。この脆弱性は、サーバーが受け取る特定のDNSSECレコードのバリデーション(検証)過程でCPUを過剰に使用させることにより発生します。
この問題の重大性は、DNSSECを利用するクライアントがホスト名をIPアドレスに解決できなくなることにあります。これにより、ウェブブラウジング、メール、インスタントメッセージングなど、インターネットを利用する多くのアプリケーションの利用が困難になる可能性があります。さらに、スパム防御や暗号防御、インタードメインルーティングセキュリティなど、他のシステムにも悪影響を及ぼす恐れがあります。
この脆弱性は、DNSSECの仕様に基づいているため、解決策を見つけることが難しいとされています。脆弱性を完全に排除するためには、DNSSECの標準自体を見直す必要がありますが、これには時間と労力がかかります。一方で、関連するベンダーや公開DNSプロバイダーは、この問題に対処するためのパッチをリリースしていますが、これらのパッチは標準を破る形となっており、完全な解決策とは言えません。
この脆弱性の発見は、インターネットのセキュリティに対する新たな警鐘を鳴らしています。DNSSECは、DNSの安全性を高めるために広く採用されていますが、このような脆弱性が存在することで、その効果が損なわれる可能性があります。今後、DNSSECの標準を見直し、より安全なインターネット環境を構築するための取り組みが求められています。また、この問題は、セキュリティ対策が常に進化し続ける必要があることを改めて示しており、技術者や研究者にとっては、新たな課題となるでしょう。
from Just one bad DNS packet can bring down a public DNSSEC server.
“DNSSECの脆弱性「KeyTrap」がサーバー停止の危機を引き起こす” への1件のコメント
インターネットの安全性を高めるために開発されたDNSSECが、逆に重大な脆弱性を抱えているというのは驚きです。インターネットを使う際には、安全でスムーズに情報にアクセスできることがとても大切ですから、この脆弱性が原因でウェブブラウジングやメール、インスタントメッセージングなどの利用に支障が出るとなると、私たちの日常生活にも大きな影響が出そうですね。
特に、私のようにInstagramやTikTokを日常的に利用している人にとっては、インターネット接続が切れるというのは想像しただけで困った状況です。友達とのコミュニケーションや情報収集、趣味の活動など、多くのことがインターネットに依存していますから、この脆弱性が早急に解決されることを望みます。
また、この問題が改善策を見つけるのが難しいとされている点も心配です。DNSSECの標準を見直す必要があるということは、根本的な解決には時間がかかるということでしょう。その間にも、KeyTrapのような攻撃が実際に起こる可能性があると思うと不安です。
でも、このニュースを知ることで、インターネットのセキュリティ問題にもっと関心を持つきっかけになりました。普段は当たり前のように使っているインターネットも、多