DNS(Domain Name System)サーバーソフトウェア「BIND」に4件の深刻な脆弱性が発見され、多くのウェブサイトやオンラインサービスの安定性に影響を与える可能性があると、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)が7月24日にアナウンスしています。
この4件の脆弱性のCVE IDは、CVE-2024-0760、CVE-2024-1737、CVE-2024-1975、CVE-2024-4076。深刻度を高(High)としています。
DNSはどこからでも問い合わせできる必要があります。悪意の有無にかかわらず誰でもアクセスできます。
最近はこのような通知が出るとすぐにプログラム(ボット)がリモートで偵察にきては攻撃可能か確認していきます。次は悪用に向けた攻撃へと進むかもしれませんので対策は必要です。
DNSが停止してしまうと、そのシステムはインターネット上では存在しないも同然となります。お客様がWebサーバーへのアクセスが遅い・繋がらないなどの影響が出てしまいますので、DNSは重要な存在です。
詳細はJPCERTを確認ください。
https://www.jpcert.or.jp/newsflash/2024072401.html
ところで、弊社ではNS1 ConnectというマネージドDNSサービスを提供しています。
このサービスのDNSプログラムではBINDは使用しておらず独自開発していますので、今回の脆弱性の影響は受けません。
DNSの問い合わせ応答をするにあたり、通信ごとに検査・分析し対処しています。
これらを高速に処理するため、専用の装置を用意し、インメモリー技術を取り入れた独自プログラムにより高速に処理します。ボリューム型のDDoS攻撃に備え、サービス拠点は26箇所に分散され、数百Gbpsのネットワーク帯域を処理する容量を用意し、さらに事前の分析から策定したプレイブック(対応手順)を使い攻撃に応じて迅速に対処します。
なお、DNS設定方法の1つとしてREST APIを用意しています。Terraformなどを使いZONE情報やキーの管理のオートメーション化が可能です。DNSも近代的なシステムインテグレーションできる時代になりました!
DNSの運用では負荷のかかるタイミングと程度が予想しづらいと思います。しかし止まってはいけませんので、これを機会にご検討ください。
サービス説明について:https://www.ibm.com/jp-ja/products/ns1-connect
DDoS攻撃からの保護について:https://www.ibm.com/jp-ja/products/ns1-connect/ddos-protection
DevOps統合について:https://www.ibm.com/jp-ja/products/ns1-connect/integrations