代表的なDNS(Domain Name System)サーバーソフト「BIND」には、以前から危険な脆弱性が相次いで見つかっている。DNSサーバーソフトを変更するのは容易ではないが、今年こそBINDへの依存を見直し、移行を検討しよう。それが「脱BIND」だ。2017年は、脱BINDの動きが加速すると予想される。

 古くから多くの企業・組織に使われているBINDは、DNSサーバーソフトの代名詞的存在だ。一方で、脆弱性がよく見つかるソフトの代名詞でもある。広く使われているソフトは多くの人に検証されるので、脆弱性が見つかりやすいのは仕方がない。だが、ほかの有名ソフト以上に、BINDには多くの脆弱性が見つかっている。

 2014年から2016年の3年間だけでも、日本レジストリサービス(JPRS)が「緊急」と題して報告した深刻な脆弱性は12件にも上る。例えば、2016年9月に報告された緊急の脆弱性を突かれると、細工をちょっと施したDNSリクエストパケットを送られるだけで、BINDが強制終了してしまう。実際、この脆弱性を悪用した攻撃が確認されている。

 今後もこの傾向は続くと考えられる。脆弱性を見つけるためのツールである「ファザー(ファジングツール)」が進化しているため、今以上に見つけやすくなる恐れもある。実際に移行するかどうかはともかく、BINDを使っている企業・組織では、ほかのDNSサーバーソフトへの移行を検討すべき時期に来ている。移行先としては、「Unbound」や「NSD」などが有力だ。