ブログ記事

Marlink Cyberにより、ISC BINDの脆弱性が発見・公表された

重要インフラを支える責任ある研究と連携

インターネットおよびローカルネットワーク環境の両方で名前解決を提供する、広く利用されているドメインネームシステム（DNS）サービスであるISC BINDに、脆弱性が確認されました。

脆弱性の概要

ソフトウェア：ISC BIND

ソフトウェアURL：https://www.isc.org/bind/

脆弱性ID: MCSAID-2025-015

CVE ID: CVE-2025-13878

CVSS: 7.5 (HIGH)

脆弱性の種類: サービス拒否 (DoS)、サービスクラッシュ

現在の状況: ベンダーによる修正/パッチがリリース済み。

悪用難易度: 容易、実環境での確認例なし

影響を受けるバージョン:

9.18.43 以前 (9.18.40 - 9.18.43, 9.18.40-S1 - 9.18.43-S1)
9.20.17 以前 (9.20.13 - 9.20.17、9.20.13-S1 - 9.20.17-S1)
9.21.16 以前 (9.21.12 - 9.21.16)

修正済みバージョン:

9.18.44（9.18.44-S1でも修正済み）
9.20.18（9.20.18-S1でも修正済み）
9.21.17

影響

この脆弱性を悪用すると、リモートの攻撃者が BIND サービスをクラッシュさせ、サービス拒否（DoS）状態を引き起こす可能性があります。DNS 解決は、ほとんどのインターネットおよび企業サービスにとって不可欠な要素であるため、この障害は運用に重大な影響を及ぼす可能性があります。

悪用

攻撃者が細工されたDNSメッセージをサーバーに処理させるだけで済むため、悪用は容易です。

現在の分析によると、任意のコード実行は不可能である。この脆弱性の影響は、クラッシュに起因するサービスの中断に限定される。

ステータス

脆弱性の現状：

この脆弱性は公開されています。
ベンダーによる修正プログラム/パッチがリリースされています。

兆候

この脆弱性の兆候には、以下のものが含まれる可能性があります：

ホスト上で:

BIND/DNSサービスのクラッシュ
BINDのアサーション失敗

メッセージ例:

rdata/generic/brid_68.c:87: REQUIRE(rdata->length >= 3) failed

rdata/generic/hhit_67.c:87: REQUIRE(rdata->length >= 3) 失敗

ネットワーク上:

RDATAの長さが3オクテット未満のDNSリソースレコードタイプ - HHIT (タイプ67) および BRID (タイプ68)

推奨事項

影響を受けるバージョンの ISC BIND を実行している場合は、修正済みのバージョンにアップグレードすることを推奨します:

9.18.44
9.18.44-S1
9.20.18
9.20.18-S1
9.21.17

脆弱性の詳細

2つの不正な形式のDNSリソースレコードタイプ（HHIT（タイプ67）およびBRID（タイプ68））は、RDATAの長さが3オクテット未満の場合、BINDの ` dns_rdata_towire()` 実装においてアサーションを引き起こします。このアサーションにより ` named` デーモンが異常終了し、即時のサービス拒否（DoS）状態を引き起こします。 HHITおよびBRIDは、ISC BINDにおけるIETF DRIPエンティティタグの実装の一部です。

この脆弱性は、フォワーディングモードおよび再帰モードの両方でリモートから悪用可能です。攻撃者は、長さが規定未満のHHITまたはBRID RRを含む細工されたDNSメッセージをサーバーに処理させるだけで済みます。

タイムライン

2025-11-01 - ISCの公式セキュリティ担当者に脆弱性が報告された

2025-11-01 – ISC が報告を受領し、追加の質問を行ったことを確認

2025年11月4日 – ISCにより脆弱性が確認された

2025-12-02 – CVEレコードが予約された：CVE-2025-13878

2026年1月21日 – 脆弱性の公開および公式修正プログラムの提供開始

予想される質問と回答

DRIP Entity Tags を使用していませんが、私の ISC BIND インストールは依然として脆弱ですか？

はい、その機能を使用していなくても、脆弱なバージョンの ISC BIND（またはそれに基づくソフトウェア、ソリューション、アプライアンス）を実行している場合、ISC BIND のインストールは脆弱です。

他のDNSソフトウェアサービスも脆弱ですか？

ISC BINDのコードベースに基づいており、かつ影響を受けるバージョンを使用している場合のみです。Unbound、PowerDNS、dnsmasqなどの他のDNSソフトウェアは、その機能を実装していないため、この特定の脆弱性の影響を受けません。

他のDNSソリューションにも脆弱性はあるか？

影響を受けるバージョンの ISC BIND を基盤とするアプライアンスやその他のソリューションを使用している場合、脆弱なインストール環境が存在する可能性があります。ベンダーに確認する際は、参照として CVE-2025-13878 を明記してください。

参考文献

ISC BIND – CVEエントリ - CVE-2025-13878

IETF DRIP「ドメインネームシステムにおけるエンティティタグ」、2025年8月19日：

BIND 9 ソフトウェア脆弱性マトリックス

Marlink サイバーセキュリティアドバイザリ - MCSAID-2025-015 – ISC BIND

ISC BINDにおけるBRID / HHITレコードの実装に関する問題

ISC Bind

CVE-2025-13878

何かお困りのことはありますか？

お問い合わせ

貴社の事業に新たな可能性を創出するお手伝いをさせていただきます。ぜひお問い合わせください。

名前*

姓*

メール*

電話番号

会社*

もう少し詳しく教えてください*

お客様のデータは、お問い合わせへの対応に必要であり、この目的のみに使用されます。

Marlinkからのマーケティング関連の最新情報を不定期で受け取ることに同意される場合は、このチェックボックスにチェックを入れてください。当社はお客様のプライバシーを尊重しており、お客様の情報を第三者に提供することは一切ありません。また、いつでも配信停止が可能です。プライバシーポリシーはこちらをご覧ください。

インサイト

厳選されたニュース、記事、専門家によるブログを通じて、当社の最新の知見をご覧いただき、デジタル保護の最前線を探求してください。

プレスリリース

ロイド・レジスター、海事デジタルトランスフォーメーションに関する調査でマーリンクと提携

この新たな研究パートナーシップは、業界がデジタル化に向けた断片的な取り組みから脱却することを支援することを目的としています。

ソートリーダーシップ

マルチLEOがゲームチェンジャーとなった。今やアーキテクチャが重要だ

プレスリリース

Marlinkの報告書によると、ユーザー認証情報と人的ミスが原因でサイバーリスクが拡大していることが明らかになった

実世界のインシデントを分析すると、攻撃者は接続された分散環境全体に見られる構造的な弱点に狙いを定めていることがわかる

記事

Black Shrantac：世界中の組織を標的に、正規のツールを悪用するランサムウェアグループの内幕

2025年9月に登場し、急速に勢力を拡大・強化しているランサムウェア運営グループに関する詳細な分析

記事

XChange NextGen：海事分野の最先端を再定義する

記事

N-Day：既知の脅威でありながら、依然として見過ごされている

「外の世界はジャングルだ：デジタルの危険地帯を乗り切る」シリーズ第10回

プレスリリース

地政学的緊張が世界の海運に影響を与える中、マーリンクは衛星妨害およびなりすまし攻撃が50％急増したと報告している

影響を受けた海域で運航する船舶は、信号の改ざんを受けるリスクが高まる

記事

ファーミング：偽サイト、現実の脅威

「外の世界はジャングルだ：デジタルの危険地帯を乗り切る」シリーズ第9回

プレスリリース

Marlinkは、海運業界のデジタル化の可能性を広げるエッジプラットフォーム「XChange NextGen」をリリースしました

スケーラブルなプラットフォームアーキテクチャを基盤とする新しい「XChange NextGen」は、Marlinkの「Possibility Portfolio」の全機能を解き放ち、通信事業者が完全な柔軟性を発揮して、安全なデジタルオペレーションを構築、拡張し、将来にわたって対応可能な体制を築くことを可能にします。