米国時間10月21日,世界に13台あるルートDNSサーバー(ルート・サーバー)が一斉にDDoS(Distributed Denial of Service:分散型サービス不能)攻撃を受けた。幸い大事には至らなかったが,DDoSの踏み台となるマシンが多数存在していることが改めて示された。個々のマシンの対策不足が,インターネットの根幹を脅かす恐れがあるのだ。そこで今回のコラムでは,先日のインシデントを紹介するとともに,このようなインシデントに“加担”しないための心構えを解説したい。

狙われたルート・サーバー

 本コラムの読者には,DNSサーバーの重要性を改めて説明するまでもないだろう。Webやメールといったさまざまなサービスを利用するためには,名前解決を行うDNSサーバーが不可欠である。中でも,階層構造を採るDNSサーバーの根幹となるルート・サーバーが正常に機能できなくなった場合,インターネットは通信障害に陥るだろう。今回ターゲットとなったのは,このルート・サーバーだったのだ。

 ルート・サーバーは世界中で13台しか存在しない。これらがすべて停止した場合,インターネットそのものが停止することになる。ルート・サーバー13台には,「A」から「M」の名称がついており,米国に10台,英国,スウェーデンおよび日本にそれぞれ1台づつ配置されている。以下に,管理団体名および配置場所,最新のIPアドレスを記載しておく。なお,IPアドレスなどは「named.root」ファイルを参考にした。

名称管理団体および場所IPアドレス
AINTERNIC.NET(米国,バージニア州)198.41.0.4
BInformation Sciences Institute(米国,カリフォルニア州)128.9.0.107
CPSINet(米国,バージニア州)192.33.4.12
Dメリーランド大学(米国メリーランド州)128.8.10.90
E米国航空宇宙局[NASA](米国カリフォルニア州)192.203.230.10
FInternet Software Consortium(米国カリフォルニア州)192.5.5.241
G米国国防省ネットワーク情報センター(米国バージニア州)192.112.36.4
H米国陸軍研究所(米国メリーランド州)128.63.2.53
IAutonomica(スウェーデン,ストックホルム)192.36.148.17
JVeriSign(米国,バージニア州)192.58.128.30
KRIPE NCC(英国,ロンドン)193.0.14.129
LIANA (米国,カリフォルニア州)198.32.64.12
MWIDE プロジェクト(日本,東京)202.12.27.33

 攻撃自体は上記13台すべてに対して行われたものの,主に影響を受けたのは9台だった。そして,9台のうち7台のルート・サーバーは,攻撃を受けている間,リクエストに対して正常な応答を返すことができなくなった。残りの2台においては,断続的に応答を返すことができなくなったという。

 とはいえ,一般ユーザーが影響を受けることはほとんどなかった。理由としては,

  • すべてのルート・サーバーが影響を受けたわけではない
  • 攻撃が短時間で終了した
  • 攻撃が単調であったために,対策を施すことが容易だった
ことなどが挙げられている。結局,実際に対応した技術者からすれば,今回の攻撃は騒ぐほどのものではなかった,というのが統一した見解のようだ。

 ただし,今回の“結果”だけを見て,「ルート・サーバーがすべて落とされるようなことはないから安心だ」あるいは「ルート・サーバーで発生したインシデントなんて自分は関係ない」と考えるのはあまりにも早計だ。今回のインシデントは,ルート・サーバー自体ではなく,インターネット上に多数存在するぜい弱なマシンが原因なのだ。

原因はインターネット上のぜい弱なマシン

 繰り返しになるが,ルート・サーバーが今回受けた攻撃はDDoS攻撃である。インターネット上のぜい弱なマシンにDDoSクライアント・プログラム(トロイの木馬)を仕込み,攻撃対象のマシンに一斉にパケットを送りつけることで,対象マシンのサービスを妨害しようというものだ(今回この攻撃により,ルート・サーバーへのトラフィックは通常の30~40倍に達したと伝えられている)。

 決して,ルートDNSサーバーにぜい弱性があったために発生したインシデントではない。DDoSクライアントを仕込まれてしまうようなマシンが多数存在したことが原因なのだ。一般のサーバー管理者といえども他人事ではない。

 DDoSクライアントを仕込むために使われたぜい弱性は,決して目新しいものではない。既に公開され,ベンダーからはパッチや修正バージョンが提供されているぜい弱性ばかりだ。しかし,それらの対策が施されなかったばかりに,ルート・サーバーが攻撃される事態が発生したのだ。

 サーバー管理者ばかりではない。一般のユーザーにとっても他人事ではない。ADSLやCATVによる常時接続が一般化している現在では,クライアント・マシンも十分踏み台にされうる。自分のマシンに侵入されることを防ぐためだけではなく,踏み台にされないためにも——もっと大げさに言えば,インターネットを問題なく利用し続けることができるようにするためにも——ぜい弱性対策は重要なのである。

 今回はルート・サーバーがすべて落とされるような事態にはならなかったものの,今後このような状況——インターネットのいたるところにぜい弱なマシンあるという状況——が続くようなら,より“強力な”攻撃方法の出現によって,深刻な事態に陥る可能性は十分にある。このことを認識した上で,個々のマシンのぜい弱性対策を施さなければならないのである。ぜい弱性対策は,マシンをインターネットに接続した時点で負わなければならない責任だと考えてほしい。

インシデント対応に温度差

 最後に,今回のインシデントにおいて如実に表れた日米の対応の違いを紹介して筆を置きたい。米国では,攻撃がサイバー・テロであった可能性があることを考慮して,ホワイトハウスやFBIなどが今回のインシデントを調査している。もっとも,サイバー・テロの懸念だけではなく,13台中10台のルート・サーバーが米国に集中している事情もあるのだろう。

 これに対して,国内では政府が動いたという報告はなく,対応はWIDEプロジェクトのメンバーに任されている。また,国内の一部の専門家は「サイバー・テロという言葉に過剰に反応し過ぎだ」と警鐘を鳴らしている。

 今回の攻撃がサイバー・テロであろうとなかろうと,個々の管理者やユーザーが実施すべきことは,自分が管理するマシンが踏み台にならないように対策を施すことだけだ。


石山和行 (ISHIYAMA Kazuyuki) kazuyuki.ishiyama@lac.co.jp
株式会社ラック セキュアネットサービス事業本部


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。