フィルタリングへの意識向上促す

　JPドメイン名の登録管理やDNS（ドメイン・ネーム・システム）の運用などを行う日本レジストリサービス（JPRS、東田幸樹社長）は、1月に発生した「Slammer（スラマー）ワーム」の感染を防御する対策として特定ポートへのアクセスをフィルタリングする場合に注意が必要だと呼びかけている。

　このワームの侵入ルートであるUDP（ユーザー・データグラム・プロトコル）1434番への外部アクセスを閉じると「場合によっては、DNSなどほかのサービスに悪影響を与える」（同社）ため、ウェブページに接続できないなどの現象が起きる可能性があるという。

　今回のケースでは、多くの企業やISP（インターネット接続業者）で一時的に1434番のポートへのアクセスをフィルタリングする傾向にあったが、「特定のポートをフィルタリングすることが、ほかのシステムに影響を与える可能性があることも意識してもらいたい」（佐藤新太・システム部システムグループマネージャー）と、こうした措置は暫定的なものにとどめるよう求めている。

　JPRSによると、DNSの問い合わせは、通常DNSサーバーのUDP53ポートに対して行われ、この際、クライアント側のポートとして1024番以上の任意のUDPが使用される。そのため、クライント側がUDP1434番を応答ポートとして選択する可能性もある。このポートを無条件にフィルタリングすると、サーバーのIPアドレスの取得に失敗するなどの影響が出る。

　さらに、DNSの標準的なサーバーソフトウェア「BIND8」「BIND9」を利用している場合は、一時的にポート番号を固定してしまうため、もし最初にUDP1434番が選択されると、そのキャッシュサーバー（DNSの再帰的な問い合わせをするネームサーバー）からのDNS問い合わせに対する応答はすべて破棄されてしまう。

　この解決策としては、外部からUDP　1434番へのアクセスがあった際には、DNSサーバーを示す53番ならば通過を許可するルールにフィルタリングを変更する方法がある。ただ、JPRSでは、これも暫定的な措置にとどめ、マイクロソフトSQLサーバーの脆弱性に対するセキュリティ・パッチを利用することを薦める。

　同ワームが発生して1か月半が経過したが、JPRSには「当社が心配したDNSへの影響については、今のところ報告は届いていない」（細田純・社長室広報担当）という。

　佐藤マネージャーも、「今回の当社の呼びかけは強制するものではないが、ネットワーク設定やセキュリティの実装について、DNSへの影響を考慮して対応して欲しい」と、フィルタリングに対する意識の向上を求めている。