SCAN DISPATCH ： DNS脆弱性の仕組を発見者のダン・カミンスキー氏が公開

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

（「SCAN DISPATCH ：ドメイン全般を10秒で乗っ取れるエクスプロイトが公開される」から続く）

　2008年7月21日、ドイツのセキュリティ専門家でBlackHatの専属リバースエンジニアでもあるハルバー・フレイク氏（Halver Flake）が、自らのブログで「...ダン（カミンスキ氏）が、パッチ当て遂行の時間をかせぐために「推測も公表しちゃダメ」と言っているのは分かっている。これは賞賛に値する目標だけど、推測もしないことが、この目標の達成に貢献するとは思えない」と前置きした上で、「プロトコル関連の仕事はしたことがないので真実とは程遠いだろうが、僕なりの推測はこうだ」と、DNSポイズニングの仕組みを推測した。カミンスキー氏とフレイク氏は知り合いだし、悪意があってのことではない。単に箝口令が有効かどうかに意見の相違があるだけだった。

　が、残念なことに、このブログエントリを読んだMatasano Security社のThomas Ptacek氏が「いざ、箝口令解除！」と考え、「Reliable DNS Forgery in 2008: Kaminsky's Discovery」というタイトルの下、「覆水盆に返らず」という書き出しでもって、脆弱性の仕組みを仔細に公開してしまった。同21日のことだ。Ptacek氏は「ダン（カミンスキー氏）が個人的にその発見を教えてくれた」と認めているから、これはあくまでも推測ではなく、立派な仔細だ。

　Matasano Security社では、Halver Flakeの”推測”を、「用意、ゴー」の「ゴー」と勘違いしてのフライング行為だったたと認めて、即座にブログを消去。Ptacek氏は「間違いだった。申し訳ない」と謝罪のブログに書き換えた。

　が、それこそ「覆水盆に返らず」だった。このブログは、消去されたにもかかわらず、Googleなどのキャッシュにしっかりと残り、そのキャッシュを他のWebサイトが引用し、2〜3日後には6,500近くのWebページにこの仔細が掲載されることになってしまったのだ。

　カミンスキー氏もすぐにこれに気がついた。同21日、自らのブログのエントリーで、

　”13>0”
　パッチを当てろ、今日中に、今すぐに。そう、残業してでも。必要ならOpenDNSに転送しろ（OpenDNSは準備が整っている）。すでにパッチを当ててくれた人々には感謝する。

　と、遠まわしながらも仔細が公開されてしまったと認め、パッチ当ての更なる努力を要請した。そして前回述べたように、メタスプロイトがエクスプロイトの公表を行ったのが、23日。翌日の24日に、カミンスキー氏はBlackHat社のWebセミナーで、もう一度、事態の深刻さを強調した。そして24日深夜カミンスキー氏は、「現在の状況からして、管理者が上司に提出できるような簡単なガイドがあれば楽になると思う。多くの人が残業禁止令その他を無視して遅くまで仕事をすることになるからだ。このガイドがあれば、夜食のピザでも会社が差し入れしてくれるかな　:D」と、素人にも分かるように脆弱性の仕組みをブログに発表した。

　抜粋翻訳してみよう。

　DNSは「再帰検索」で動いているリレー・レースのようなものだ。ここで、悪人がレースに勝つためには、”秘密の番号”を推測しなればならない。既に、秘密の番号の推測は65,536分の1の確率よりももっと簡単なこと（Amit Kleinが推測に成功している）、複数の秘密の番号を受理させられること（Joe Stewartがこれを証明している）の2点について分かっている。

　さて、 www.foobar.com をターゲットにした場合、DNSのin-bailiwick内部の名前は信頼関係があるということを利用して、例えば1.foobar.com、2.foobar.com、3.foobar.com・・・のように問い合わせをすれば、遅かれ早かれ悪人は必ず返答を入手できる。そこで悪人は、手に入れたランダムの名前に対してだけ返答せず、「え？83.foobar.com? 知らないなぁ、 www.foobar.com に聞いてみたら。ハイ、これがアドレス。あ、このアドレス、覚えておいてね」とバカになりすますのだ。

　Aminの攻撃もJoeの攻撃も、既に勝者が決定されたレースを無効にはできなかった。一度ネームサーバーがキャッシュをしたら新たなレースは必要ないからだ。そのため、今までの攻撃では www.foobar.com を対象にした場合、 www.foobar.com に対する新しいレースが必要だった。

　僕が気がついた攻撃はその必要が無い。全く違った名前を対象にしたレースをすればいいからだ。

　わざと技術的仔細を除いた仕組だが、お分かりだろうか？

　重大な発見、そして箝口令、世界中のトップを集めた秘密のサミット・・・・。これだけの話題を集め、ねたみや箝口令に対する苦情を含む集中攻撃に耐えながらも、カミンスキー氏はただひたすら、「とにかく皆に知らしめて、パッチを当ててもらいたい」と駆けずり回ってきた。実際に仔細が公開された今、彼に対する批判も収まったようだ。Pwnie賞側も「これほど騒がれているからには、実は大したことない脆弱性なんだろうと考えていたが、ダン（カミンスキー氏）がテレコンファレンスで、脆弱性の仔細と攻撃の可能性を説明してくれて、非常に感心しただけでなく、予想を遥かに超えた深刻な問題点だということに同意した」と、「ダン・カミンスキー氏は「マスコミに騒がれただけで大したこと無かったバグ」のノミネートに失格」という判断を下した。

　カミンスキー氏の調査によると、パッチがリリースされた2〜3日後にサンプルされたDNSクエリの86%に脆弱性が存在していたが、2週間以上たった7月24日前後のサンプルではそれが52%だそうだ。氏は「86%に比べれば52%は良い数字だけど、それでも足りない」と言っているが、当然だろう。

　後は8月6日の彼のBlackHat USAでの発表を待つばかり。満場御礼間違いなし。カミンスキー氏はそのブログで「僕のおばあちゃんもスピーチを聞きにくるし、彼女にもその危険性が分かるようにスピーチする」と言っている。楽しみだ。

　セミナーでカミンスキー氏は、「こうした攻撃の可能性はある」と攻撃方法やブログに書いたような仕組みについては触れているが、実際の技術的仔細の説明は行っていない。彼のブログにも「24日のWebセミナーで技術的仔細を話せればいいけれど、そうはいかない」と書いている。

　そのWebセミナーからの抜粋Q&Aは次の通りである。

Q:DNSサーバーとクライアント両方にパッチ当ては必要か？

A:マイクロソフトは両方用意しているが、サーバーの脆弱性は核兵器、クライアント側はスナイパーのようなもの。どちらもイヤだが、サーバーの優先度が高いのは当然。最終的にはクライアント側もランダマイズしないとダメだ。

Q:DNSSecを登用すればいのでは？

A:現在登用するのは非常に難しい。

Q:TTLを例えば1年にするなどの対策を行っても防げないのか？

A:防げない。攻撃が例えば、1.──.com、2.──.comという風に行われると必ずキャッシュされていないものに行き当たる、

Q:第2弾のパッチが出るのか？

A:今回のパッチはあくまでも応急処置でしかない。長期的な解決方法については頭を悩ますばかりだ。これだけ広範囲の協力を得ても、これだけの結果しか出ていない。必要なのは当然だ。

Q:誰がリークしたと考えてるか？

A:(笑)　誰が悪いとか、いろいろ意見は分かれるだろうけれど、大事なのはより多くの人にパッチを当ててもらうことだ。

Q:IDSのシグネチャはアップデートされているか？

A:されている。7月8日にIDSのベンダーには全てブリーフィングがいっている。

Q:なぜ発見から発表まで6ヶ月もかかっているか？

A:非常に膨大な仕事量だったからだ。

Q:エクスプロイトはどのぐらいの時間があれば成功するのか

A:ひとつのIPにつき5秒ぐらいだから、10秒が魔法の番号と考えればいい。

　また、カミンスキー氏のホームビデオ「Sarah on DNS」は、彼の姪のサラが、「パッチを当ててね！」と訴える、子供向けの教育プログラム風のビデオ。彼のユーモア溢れる人格が分かるものだ。

http://www.youtube.com/watch?v=XDKw8ny6IcM

　そして、ユーザーは自分のPCより上流のDNSの安全度を、カミンスキー氏のWebページでチェックすることができる。

http://www.doxpara.com/

上記サイトの右側にある、「Check My DNS」をクリックすれば良い。

【執筆：米国　笠原利香】

【関連記事】
SCAN DISPATCH ：ドメイン全般を10秒で乗っ取れるエクスプロイトが公開される
https://www.netsecurity.ne.jp/2_11908.html

【関連リンク】
ダン・カミンスキ氏 Webサイト
http://www.doxpara.com/
ハルバー・フレイク氏 blog
http://addxorrol.blogspot.com/
カミンスキー氏のWired Interview
http://blog.wired.com/27bstroke6/2008/07/kaminsky-on-how.html