チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「うちのDNSサーバー、BIND 9を使っているけど脆弱性が出たって聞いた。どのくらい深刻なの?」
「修正パッチは出ているらしいけど、業務中断せずにアップデートできる?」
チップスBIND 9に脆弱性が4件も出たって聞いて、正直ちょっとパニックでしゅ……どこから手をつければいいんでしゅか?
ボス落ち着け、チップス。今回の脆弱性はすでに修正版が公開されている。優先度を整理して、順序よく対応すれば問題ない。
2026年3月25日、ISC(Internet Systems Consortium)はDNSサーバーソフトウェア「BIND 9」に関して4件の脆弱性を公開し、修正バージョンをリリースしました。
国内外を問わず広く利用されているソフトウェアだけに、管理者は早急な対応が求められます。
この記事では各脆弱性の技術的な内容と企業インフラへの影響を整理し、管理者がすぐに動けるよう対策をまとめています。
今回報告された4件の脆弱性は、DNSSEC処理やSIG(0)認証に関連するものです。
ISCが2026年3月25日に公開した4件の脆弱性は、それぞれ異なる攻撃経路と影響を持ちます。
各脆弱性のポイントは以下の通りです。
| CVE番号 | 深刻度 | CVSSv3.1 | 概要 |
|---|---|---|---|
| CVE-2026-1519 | High | 7.5 | 細工されたゾーンによりCPUが過剰消費されるDoS |
| CVE-2026-3104 | High | 7.5 | DNSSEC非存在証明生成時のメモリリークによるDoS |
| CVE-2026-3119 | Medium | 6.5 | TKEYレコードを含むクエリでnamedが予期せず終了 |
| CVE-2026-3591 | Medium | 5.4 | SIG(0)処理のスタック変数参照誤りによるACLバイパス |
CVE-2026-1519はDNSSEC検証中に細工されたゾーンを処理すると、CPU使用率が急激に上昇し、処理できるクエリ数が大幅に低下します。
CVE-2026-3104はリゾルバーが特定のドメインを問い合わせるだけでメモリが解放されず、常駐メモリ(RSS)が際限なく増加してしまいます。
チップスえ、クエリを送りつけるだけでCPUもメモリもやられちゃうんでしゅか!?
ボスそうだ。どちらもネットワーク越しに認証なしで攻撃できる。だからCVSSが7.5と高く評価されているんだ。
CVE-2026-3119はTKEYレコードを含む認証済みクエリによってnamedプロセスが予期せず終了するもので、CVE-2026-3591はSIG(0)処理のスタック変数を誤って参照することでACLが正しく評価されず、本来アクセスを許可していないIPからの操作が通ってしまう可能性があります。
今回のアップデートで修正されたバージョンと、影響を受ける範囲は以下の通りです。
ISCは現時点でこれらの脆弱性が実際に悪用された事例は確認されていないと発表しています。
ただし、公開情報が広まるにつれて攻撃者が悪用を試みるリスクは高まるため、早期の対応が重要です。
DNSはすべてのネットワーク通信の基盤です。その停止は業務全体に波及します。
BIND 9はLinuxサーバーを中心に、ISP・企業・官公庁など国内外で非常に広く使われているDNSソフトウェアです。
DNSが機能しなくなると、社員がWebサービスにアクセスできなくなるだけでなく、メール送受信・クラウドサービスへの接続・VPN認証など、業務に欠かせない多くの機能が同時に停止します。
今回のCVE-2026-1519やCVE-2026-3104はリモートから認証なしで発動できるDoS攻撃で、悪用されると以下のような影響が連鎖します。
チップスDNSが止まるだけでこんなに被害が広がるんでしゅか……普段意識したことなかったでしゅ。
ボスそこが盲点なんだ。DNSはインフラの縁の下の力持ちで、止まると何もできなくなる。だからこそ攻撃者に狙われやすい。
CVE-2026-3591のACLバイパスは、DoSとは異なる深刻なリスクを持ちます。
BIND 9のACL(アクセス制御リスト)は、信頼できるIPアドレスからのみゾーン転送や再帰クエリを受け付けるよう制限するための仕組みです。
この脆弱性を突かれると、本来アクセスを拒否すべき外部のIPアドレスからの操作が通ってしまう可能性があります。
攻撃者が悪意あるゾーンデータを転送させたり、内部DNSの設定を改ざんするシナリオが考えられます。
DoS系の脆弱性は可用性への影響が中心ですが、ACLバイパスは機密性・完全性にも影響しうる点で性質が異なります。
複数の脆弱性が同時に公開されたことで、組み合わせた攻撃シナリオのリスクも考慮が必要です。
今回のBIND 9脆弱性は、修正版がすでに公開されているため、対応の優先順位は「今すぐアップデートする」の一点に尽きます。
現在利用しているBIND 9のバージョンを確認し、9.18.47・9.20.21・9.21.20のいずれかへの移行を速やかに進めてください。
アップデートと合わせて実施すべき対策は以下の通りです。
チップスバージョン確認したら9.18.44だったでしゅ!すぐアップデートしてきまでしゅ!
ボスふふふ、その行動力こそが大事だ。DNS管理者としての第一歩だな。
DNSはビジネス継続の根幹を支えるインフラです。
「今は問題ない」という感覚が最大のリスクになります。
今回の脆弱性を機に、DNSサーバーの管理体制とパッチ適用フローを見直してみてください。
