カミンスキー氏、DNS脆弱性について詳細を公開--Black Hatカンファレンスで - (page 2)

　DNSの脆弱性に関連した危険を軽減するため、数多くのベンダーが自社製品について、主にポート番号のランダム化を中心とした修正パッチを公開している。Kaminsky氏によるとこれには効果があるとのことで、Nominumのキャリアなどは修正パッチで保護されている。「Bind」の実装にもパッチが適用され、またMicrosoftの自動更新は「たくさんのユーザーに行き渡った」という。

　Fortune 500企業の70％はメールサーバのテストとパッチ適用を終えており、61％はメール以外のサーバにパッチを当てている、とKaminsky氏は語った。

　しかし、セキュリティの専門家であるケンブリッジ大学のRichard Clayton氏はZDNet.co.ukに対し、パッチとランダム化はある程度までの効果しかないと説明した。

　「パケットのIDはランダム化できるし、ポート番号もランダム化できるが、残念なことにランダム化には誕生日のパラドックスがある」とClayton氏は言う。「部屋に20人いるとしたら、そのうち2人が同じ誕生日である確率はけっこう高い。あなたがランダムに番号を選び、攻撃者もランダムに選ぶとき、これが問題になる。あなたが2の16乗（65536）通りの中から1つを選ぶのに対して、攻撃者が2の16乗の平方根、つまり2の8乗（256）個の割合で偽の要求を送信すれば、乗っ取りに成功する確率が50％あることになる」

　ランダム化は問題を軽減するが、本質的には単に「攻撃者がエントロピーを乗り越えるのに十分な速さでパケットを送信できるようになる恐怖の日を先送りする」だけのものだ、とClayton氏は述べた。

　Clayton氏によると、「本当の」解決策と言えるのは、あまり正確でない要求を大量に受け取ると、サーバがそれに気づいて「疑り深く」なり、なりすましができないTCPを使った通信のみ行うようにする、というものだ。さらなる解決策としては、暗号化によってDNSのセキュリティを拡張する仕様の1つであるDNS Security Extension（DNSSEC）を通信事業者が採用することが考えられる、とClayton氏は語った。