2025年5月、DNSサーバソフトウェア「BIND 9」に深刻な脆弱性(CVE-2025-40775)が報告されました。本脆弱性は、悪意あるDNSパケットを受信するだけでBINDが異常終了するという、サービス停止(DoS)を引き起こす可能性がある問題です。
この記事では、脆弱性の詳細や影響範囲、修正状況、そして管理者が取るべき対応策についてわかりやすく解説します。
概要:BIND 9におけるTSIG処理の不具合でDoSの恐れ
CVE-2025-40775は、BIND 9がTSIG(Transaction Signature)付きのDNSパケットを処理する際のバグにより、クラッシュ(異常終了)してしまう脆弱性です。
- 攻撃者は認証不要で1パケット送るだけで、BINDのnamedプロセスを強制終了させることが可能です。
- このバグは、TSIGの「アルゴリズム名」フィールドに不正な値が含まれていると、BIND内部でアサーションエラーを起こしてしまうことに起因しています。
- サーバの設定でTSIGを使っていなくても影響を受けるため、すべてのBINDユーザーが対象となる可能性があります。
特に注意すべき点は、権威DNSサーバだけでなくキャッシュDNS(リゾルバ)でも脆弱性が発生する点です。外部からの攻撃により、インターネットサービスや社内ネットワーク全体のDNS解決が不能になるリスクがあります。
▼ 脆弱性データベース
影響を受けるバージョン
- BIND 9.20.0 ~ 9.20.8
- BIND 9.21.0 ~ 9.21.7
なお、ISCによると現時点では本脆弱性の悪用事例は確認されていませんが、概念実証コードの作成は容易なため、今後の攻撃に備えた対応が急務です。
修正状況:ISCは既にパッチを提供
本脆弱性は2025年5月21日に正式に公開され、開発元のISCは即日で修正版をリリースしています。該当のバージョンは以下のとおりです。
- BIND 9.20.9
- BIND 9.21.8
各Linuxディストリビューション(例:Ubuntu、Red Hat)でも、それぞれのパッケージに対応したアップデートが順次提供されています。特にインターネット上に公開されているDNSサーバについては、できる限り早急なアップデートが強く推奨されます。
対応策・回避策:アップデートが唯一の根本対策
CVE-2025-40775は設定変更やアクセス制御では防げない脆弱性のため、根本的な対処は「修正済みバージョンへのアップデート」しかありません。
推奨される対応手順
- 使用中のBINDバージョンを確認
named -v- 該当バージョンであれば、最新版に更新
ISC公式サイトや使用中のOSベンダーから最新版をダウンロードして適用しましょう。 - アップデートがすぐに行えない場合はネットワーク制限を強化
- 不特定多数からのDNSリクエストを制限する
- 外部からのアクセスが不要なキャッシュDNSは、ファイアウォール等で遮断
- 異常終了のログ監視を実施
namedのクラッシュはログに「assertion failure」などが記録されます。異常な動作がないか定期的に確認しましょう。
まとめ:BINDを利用中のすべての環境で早急な確認を
BINDは世界中で広く使われているDNSサーバですが、今回のCVE-2025-40775は極めて深刻なDoS脆弱性であり、悪用も容易です。
すでにパッチは提供されていますが、アップデートが遅れれば遅れるほど攻撃を受けるリスクが高まります。ぜひ本記事を参考に、自組織のDNSサーバが対象バージョンに該当していないかをチェックし、早急な対応を検討してください。
コメント