DNS脆弱性、発見者の意図に反して詳細が明らかになった事情

　インターネット上のさまざまな場所でDomain Name System（DNS）への攻撃を可能にする攻撃コードを入手できることが、米国時間7月23日の時点で明らかになっている。

　IOActiveの研究者Dan Kaminsky氏は7月8日、DNSに脆弱性が存在することを明らかにしたが、影響を受ける全ベンダーが修正パッチをリリースし世界中のすべてのシステムが修正されるまで詳細を公開しない方針だった。同氏は修正におよそ30日かかるとみていた。

　30日後といえば、偶然にもラスベガスで開催されるBlack Hat会議で、同氏が登壇することになっている8月6日と重なっていた。

　ところが21日に、同じくBlack Hat会議の発表を予定しているHalvar Flake氏が、これほど重大なセキュリティの脆弱性を公開しないKaminsky氏のやり方を非難した。その後Flake氏は、問題の脆弱性について自らの推測を発表した。結果として同氏の見方は正しく、それ以外の者にも攻撃コードを作成したり公開したりできる基盤を提供することになった。

　Kaminsky氏は24日、第2回Black Hat Webinarに参加する。これはBlack Hat会議が毎月開催しようとしているシリーズの2回目となるものだ。Kaminsky氏の他に、米国土安全保障省サイバーセキュリティ部門の前ディレクターJerry Dixon氏、Securosisの創設者Rich Mogull氏、Internet Systems ConsortiumのシニアプログラムマネージャーJoao Damas氏らが参加し、太平洋標準時で午後1時に開始される。

　自分のインターネット接続がDNSキャッシュポイズニングに対して脆弱かどうかを調べるには、Kaminsky氏のサイトにテスト用のツールがある。研究者のNeal Krawetz氏は21日、大手ISPのサーバーが未だに脆弱なままだと報告している。