日本レジストリサービス(JPRS)は2月7日,ウイルスやワームからの攻撃を防御する目的でフィルタリング対策を取る場合には注意が必要だとする呼びかけを,自社のWebページ上に掲載した。特定ポートに対する外部からのアクセスを禁止するセキュリティ対策が,DNS(domain name system)に障害を与える可能性を指摘している。
2003年1月末に世界を騒がせた「SQL slammer」(SQLスラマー)の対策の一つとして,侵入ルートであるUDP(user datagram protocol)1434番ポートへの外部からのアクセスを禁止する手段がある。一般的なアプリケーションではUDP1434番を使って外部からアクセスしてくることはないため,弊害はないと見られているからだ。だが,JPRSの呼びかけでは,この対策によって社内ネットワークからインターネットに接続する際にDNSが使えなくなる可能性があり,暫定的なものにとどめた方が望ましいとしている。
DNSサーバーに対する問い合わせは,通常UDP53番を使うことが決まっている。ただし,これは問い合わせに限った規定であり,サーバーからクライアントに対する応答には,クライアント側が任意に指定したUDP1024番以上のポートが使われる。つまり,クライアントがUDP1434番を応答ポートとして指定する可能性もある。その際に,インターネットに接続するファイアウォールやルーター上で外部からのUDP1434番へのアクセスを禁止していると,サーバーのIPアドレスの取得に失敗し,Webページに接続できないなどの現象が起こる。
特に,社内ユーザー向けのDNSサーバーとして,標準的なサーバー・ソフトである「BIND8」または「BIND9」を利用している場合,サーバー起動時に外部からの応答を受け付けるポート番号を固定してしまうため,UDP1434番が偶然選ばれてしまうこともある。そうなると,インターネット上のDNSからの応答はすべて破棄されてしまい,社内のDNSサーバーを再起動しなくては解決できない事態に陥る,とJPRSは指摘する。
JPRSは,解決策として二つの方法を提案している。一つはSQLスラマーに対する根本的な対策であるMicrosoft SQL Serverのぜい弱性に対処するセキュリティ・パッチを利用すること。もう一つは,外部からUDP1434番に対するアクセスを受けた場合,送信元のポート番号がDNSサーバーであることを示す53番であれば,通過を許可するというフィルタリング・ルールに変更すること。ただし後者の方法は,たまたまSQLスラマーが送信元ポート番号として53番を使わないから効果があるというだけ。JPRSも対策として前者が望ましいとしている。
