1. TOP
  2. ニュース&トピックス
  3. ISC BIND 9 に複数の脆弱性、DNSリゾルバと権威サーバーがリモート攻撃の危険に
Technical Term

ISC BIND 9 に複数の脆弱性、DNSリゾルバと権威サーバーがリモート攻撃の危険に

トピックス

DNSの世界で最も広く使われているソフトウェアのひとつ、ISC BIND 9 に新たな脆弱性が複数報告されました。DoS(サービス妨害)、メモリ破壊、そして条件次第ではリモートコード実行にまでつながる可能性があり、DNSインフラを運用するすべての組織にとって早急な対応が求められる内容です。

概要
今回の脆弱性は、Internet Systems Consortium(ISC)が公開している「BIND 9 Software Vulnerability Matrix」に追加されたものです。このマトリクスは、CVE番号と影響を受けるBINDバージョンを対応づけた中央リファレンスとして機能し、管理者が自組織の影響範囲を素早く把握できるようになっています。
対象となるのは、再帰リゾルバ(recursive resolver)と権威ネームサーバー(authoritative name server)の両方です。混在したBINDブランチを運用している複雑な環境では、特に正確なリスク評価が重要になります。

主な脆弱性
報告された脆弱性のうち、特に注意すべきものは以下のとおりです。

    CVE-2026-3593(heap use-after-free / DoH)
BIND の DNS-over-HTTPS(DoH)実装におけるヒープ領域の解放後使用(use-after-free)の脆弱性です。条件が揃うとメモリ破壊を引き起こし、クラッシュや任意コード実行につながる可能性があります。今回のセットの中でも最も深刻なものの一つです。

    CVE-2026-5950(無限再送ループ)
リゾルバのロジックに存在する、上限のない再送ループの問題です。悪用されるとシステムリソースを消費し尽くし、継続的なDoS状態を引き起こす恐れがあります。

    CVE-2026-5947(SIG(0)検証)
高いクエリ負荷時の SIG(0) 検証に関わる脆弱性で、未定義動作やサービスの不安定化を招く可能性があります。

    CVE-2026-5946(非INクラスクエリ)
IN以外のクラスのクエリの不適切な処理に関する問題で、DNS処理ロジックを妨害するために悪用される恐れがあります。

    CVE-2026-3592(増幅リスク / グルーレコード)
自己参照型のグルーレコードを介した増幅(amplification)リスクで、リフレクション型DDoS攻撃の足がかりになり得ます。

    CVE-2026-3039(GSS-API TKEYでのメモリ枯渇)
GSS-API TKEY ネゴシエーション時のメモリ枯渇のリスクで、サーバー性能の低下を狙った攻撃に悪用される可能性があります。
攻撃シナリオの一例
たとえば再送ループの脆弱性(CVE-2026-5950)の場合、攻撃者は再送を繰り返し誘発するように細工したDNSクエリを脆弱な再帰リゾルバに送り込みます。これによりCPUとメモリのリソースが徐々に食い潰され、最終的にはそのDNSに依存するアプリケーション全体でサービス停止が発生する、という流れが想定されます。


EOLバージョンへの警告
ISC は、サポートが終了した(EOL)BIND 9 の使用を強く避けるよう呼びかけています。EOLバージョンは新たに発見された脆弱性に対するテストが行われておらず、「安全ではない」前提で扱うべきとされています。
特に 9.0 から 9.16 までのレガシーブランチは、一部環境で現在も広く稼働しており、EOL後に発見された未修正の脆弱性に晒されるリスクが高まっています。本番環境では、サポート対象の安定版へアップグレードし、アルファ版・ベータ版・リリース候補版の使用は避けることが推奨されています。


推奨される対策
セキュリティ担当者・ネットワーク防御者が取るべき対策は次のとおりです。
•    パッチ管理を優先し、サポート対象の安定版へ速やかにアップグレードする
•    継続的なモニタリングと設定のハードニングを実施する
•    DNSの構成を棚卸し(監査)し、不要な機能(必要のないDoHなど)を無効化する
•    レート制限を導入し、増幅攻撃やフラッディング攻撃への露出を低減する

________________________________________
DNSはインターネットの基盤であり、その停止は依存するサービス全体に波及します。自組織のBINDバージョンを確認し、影響範囲を早めに把握しておくことをおすすめします。

________________________________________
出典: Cyber Security News - BIND 9 Software Vulnerabilities Exposes Resolvers and Authoritative Servers to Remote Exploits

記載者:片山 昌樹(セキュリティ&マネージド事業部 DFIRチーム)

一覧に戻る