BIND 9 の複数の脆弱性が FIX:サービス拒否 (DoS)/メモリ破損/リモート攻撃などの恐れ

BIND 9 Software Vulnerabilities Exposes Resolvers and Authoritative Servers to Remote Exploits

2026/05/27 CyberSecurityNews — ISC BIND 9 で発見された脆弱性により、DNS インフラ運用者の間にセキュリティへの懸念が高まっている。複数の脆弱性により、サービス拒否 (DoS)/メモリ破損/リモート攻撃などの可能性が生じている。最新の BIND 9 Software Vulnerability Matrix では、再帰リゾルバおよび権威ネームサーバの双方に影響を及ぼす深刻なリスクが示されている。エンタープライズやクラウド環境において、迅速なパッチ適用とバージョン管理が重要になると強調されている。

Internet Systems Consortium (ISC) は、この脆弱性マトリクスを集中参照ツールとして提供しており、影響を受ける BIND バージョンと CVE を対応付けることで、管理者が曝露状況を迅速に判断できるようにしている。

BIND 9 脆弱性

このマトリクスは、2 つのセクションで構成されている。1 つは、CVE 識別子と技術的説明を結び付ける脆弱性インデックスであり、もう 1 つは、どの BIND リリースが影響を受けるかを示すバージョン別テーブルである。この構造により、複数の BIND ブランチが混在する複雑な環境であっても、正確なリスク評価が可能となる。

最も深刻な脆弱性は CVE-2026-3593 であり、BIND の DNS-over-HTTPS (DoH) 実装におけるヒープ use-after-free の欠陥に起因する。この脆弱性は、特定の条件下でメモリ破損を引き起こし、クラッシュや任意のコード実行につながる恐れがある。

もう 1 つの深刻な脆弱性 CVE-2026-5950 は、リゾルバ・ロジックにおける無制限の再送ループに関係する。この脆弱性を悪用する攻撃者は、システム・リソース枯渇を引き起こし、持続的な DoS 状態を達成する恐れがある。

さらに複数の脆弱性が攻撃面を拡大している。

  • CVE-2026-5947:高負荷時の SIG(0) 検証に影響し、不定動作やサービス不安定化を引き起こす可能性がある。
  • CVE-2026-5946:非 IN クラスクエリの処理不備を示しており、DNS 処理ロジックの攪乱に悪用される可能性がある。
  • CVE-2026-3592:自己参照型グルーレコードによる増幅リスクを導入し、反射型 DDoS 攻撃の起点となる。
  • CVE-2026-3039:GSS-API TKEY ネゴシエーション時のメモリ枯渇リスクを示し、攻撃者がサーバ性能を低下させるために悪用できる。

たとえば、攻撃者が脆弱な再帰リゾルバを標的とする場合には、CVE-2026-5950 の再送ループを悪用し、悪意の DNS クエリを送信して、再送処理を繰り返し発生させることができる。最終的に CPU およびメモリリソースが枯渇し、依存するアプリケーション全体でサービス停止が発生する。

ISC が強く推奨するのは、サポート終了 (EOL) バージョンの BIND 9 を使用しないことである。これらのバージョンは、新たに発見された脆弱性に対して未検証であり、安全ではないバージョンとみなされる。

旧ブランチであるバージョン 9.0 〜 9.16 が、依然として一部の環境で広く利用されているが、EOL 後に発見された未修正の脆弱性が悪用されるリスクが高い。

ユーザー組織は、サポート対象の安定版リリースへとアップグレードし、本番環境では alpha/beta/release candidate といったビルドの使用は避けるべきである。

セキュリティチームにとって必要なことは、パッチ管理の優先/継続的な監視/コンフィグの強化を通じて、これらの脅威に対応することだ。

またネットワーク防御においては、DNS デプロイメントの監査/不要な DoH 機能の制限/レート制限の導入などにより、増幅攻撃やフラッディング攻撃への曝露を低減すべきである。

訳者後書:BIND 9 に発生した一連の脆弱性は、 メモリ管理の不備/特定のクエリを処理する際のループ制御/リソースの制限不足などに起因するものである。脆弱性 CVE-2026-3593 では、DNS-over-HTTPS (DoH) 機能において、すでに解放されたメモリ領域に誤ってアクセスされる設計上の弱点が存在します。 また、CVE-2026-5950 では リゾルバの処理ロジックにおいて無限に処理が繰り返されてしまう不備があり、外部からの通信によりシステムリソースが枯渇し、サービス拒否を招く恐れがあります。ご利用のチームは、ご注意ください。よろしければ、BIND 9 での検索結果も、ご参照ください。