日本レジストリサービス（JPRS）は2010年7月16日、DNSサーバーソフト「BIND 9.7.1」「同 9.7.1-P1」にDNSSECで利用する「RRSIGレコード」に関連するぜい弱性が見つかったと警告した。DNSSECを有効にした権威DNSサーバーが、ネットワーク越しにDoS（Denial of Service）攻撃を受ける危険性があるという。

　BIND 9.7.1/9.7.1-P1で、namedをキャッシュDNSサーバーとして動作させ、かつDNSSECの公開鍵（トラストアンカー）を設定して検証機能を有効にした場合に問題が起こる。namedはDNSサーバーの実体となるプロセスを指す。このDNSキャッシュサーバーに対して、攻撃者がDNSSECが有効に設定された任意のドメイン名に対するRRSIGレコードの検索要求を送る。すると、キャッシュDNSサーバーのnamedの実装の不具合によって反復検索がループ状態に陥り、該当するRRSIGレコードを保持する権威DNSサーバーに対して、RRSIGレコードの検索要求が発信され続ける。

　RRSIGレコードは、その他のリソースレコードの署名情報を格納するためのレコード。そのため、普通はRRSIGレコードが単体で検索されることはない。だが仕様上はDNSキャッシュサーバーなどに対して、単独でRRSIGレコードを検索することができるという。

　BINDの開発元のISC（Internet Systems Consortiumi）は、すでにこのぜい弱性を修正したBIND 9.7.1-P2を公開している。JPRSでは、キャッシュDNSサーバーに公開鍵を設定してDNSSECを有効にする前に、BINDのバージョンアップを実施するよう呼びかけている。

◎関連情報
◆（緊急）BIND 9.7.1/9.7.1-P1におけるRRSIGレコード処理の不具合について（JPRS）