DNSサーバーソフトの定番であるBIND 9に、遠隔の第三者がサービスを停止させられる脆弱性 CVE-2025-13878(DoS/CVSS 3.1 基本値 7.5・高)が公表されました。細工したDNSレコードの処理中にnamed(BINDの本体プロセス)が異常終了する不具合で、認証もユーザー操作も不要です。権威サーバー・キャッシュ(リゾルバ)の双方が影響を受け、回避策(ワークアラウンド)は存在しません。対応は修正版へのアップデート一択です。現時点で悪用報告は確認されていませんが、DNSは止まると社内外の多くのサービスが連鎖的に止まる基盤です。自社の稼働バージョンを今すぐ確認しましょう。
この記事でわかること
- CVE-2025-13878で何が起きるのか(影響と深刻度)
- 影響を受けるBIND 9のバージョンと修正版
- 情シスが今すぐ確認・実施すべきこと
- DNS基盤を止めないための中長期の運用視点
何が起きたのか
遠隔の第三者が、細工したクエリでDNSサーバーを異常終了(クラッシュ)させられる脆弱性です。ISC(BINDの開発元)によると、不正な形式のBRID/HHITレコードを処理する過程でアサーション失敗(内部の整合性チェックの失敗)が発生し、namedプロセスが落ちます。プロセスが落ちれば名前解決が止まり、結果としてサービス拒否(DoS)に至ります。
BRIDやHHITは比較的新しい種類のDNSリソースレコードで、一般的な業務システムで日常的に登場するものではありません。とはいえ攻撃側は不正な形式のレコードを含むクエリを送り込むだけでよく、特別な権限や認証は不要です。ISCは2026年1月14日に事前通知、1月21日に正式公開し、日本ではIPAが2026年1月23日に注意喚起を出しています。
機微にかかわる点として、技術的な内部メカニズム(どのコードでアサーションが失敗するか等)の詳細は、ISCの公開アドバイザリでは限定的にしか説明されていません。本記事も公開情報の範囲で整理しており、深掘りが必要な場合は一次情報(ISCのアドバイザリ)を直接ご確認ください。
影響を受けるバージョンと修正版
IPAおよびISCの情報によると、影響を受けるバージョンと修正版は以下のとおりです。
| 系統 | 影響を受けるバージョン | 修正版 |
|---|---|---|
| 9.18 系 | 9.18.40 ~ 9.18.43 | 9.18.44 |
| 9.20 系 | 9.20.13 ~ 9.20.17 | 9.20.18 |
| 9.21 系 | 9.21.12 ~ 9.21.16 | 9.21.17 |
| Supported Preview Edition | 9.18.40-S1 ~ 9.18.43-S1 / 9.20.13-S1 ~ 9.20.17-S1 | 対応するS版へ更新 |
CVSS 3.1 のベクトルは AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H です。つまり「ネットワーク経由・低い攻撃条件・権限不要・ユーザー操作不要で、可用性に大きな影響(機密性・完全性への影響はなし)」を意味します。情報漏えいや改ざんではなく、あくまで「止められる」タイプの脆弱性である点を、経営層や他部署への説明では押さえておくとよいでしょう。
なぜ厄介なのか(現場目線の課題)
回避策がなく、影響が連鎖しやすいからです。多くの脆弱性では「該当機能を無効化する」といった暫定対応が用意されますが、本件は「ワークアラウンドは知られていない」とされ、修正版への更新が唯一の手段です。猶予を稼ぐ手が乏しいぶん、パッチ適用の段取りそのものが対応の本体になります。
加えてDNSは、止まると影響が一点に留まりません。社内のActive Directory、メール、SaaSへの接続、外部公開サイトの名前解決まで、名前解決に依存する処理が広範に巻き込まれます。「DNSサーバーが1台落ちただけ」が、現場では「あちこちで原因不明の接続不可」として観測され、切り分けに時間を取られがちです。冗長構成を組んでいても、同じ脆弱なバージョンを並べていれば同時に落とされる可能性がある——という点は見落とされやすい落とし穴です。
正直なところ、DNSのような「動いて当たり前」のインフラは、いざ棚卸しすると稼働バージョンを即答できないことが少なくありません。限られた人員で、どこに何系統のBINDが動いているかを平時から把握できているか。本件は、その地力が問われる脆弱性でもあります。
情シスはどうすべきか
優先順位は明快です。まず資産を洗い出し、影響有無を判定し、修正版へ計画的に更新する——この基本に尽きます。
- 稼働バージョンの確認:自社・委託先で動くBIND 9のバージョンを洗い出す。OSのディストリビューション標準パッケージとして導入している場合は、各ディストリビューターからの更新提供状況も併せて確認する。
- 影響判定と更新計画:上表に該当する場合は修正版へ更新する。権威・リゾルバの双方が対象である点に注意し、冗長系も含めて漏れなく対象にする。
- 外部公開DNSの優先対応:インターネットからクエリを受け付けるサーバーは攻撃を受けやすいため、優先度を上げる。
パッチ適用の進め方や脆弱性管理の体制づくりに不安があれば、自前でチェックリストを乱立させるより、公的機関の指針を起点にするのが近道です。中小規模の組織であればIPAの中小企業の情報セキュリティ対策ガイドラインが、平時の運用とインシデント時の備えを体系立てて示しています。あわせて、利用者・運用担当への地道な啓発として対策のしおりも活用できます。
中長期の視点
今回のように「回避策なし・基盤が止まる」脆弱性は今後も周期的に出ます。重要なのは、出るたびに慌てないための常設の備えです。具体的には、(1) DNSを含むインフラソフトの構成・バージョンを台帳化して常時更新する、(2) ベンダー/IPA/JPCERT/CCの注意喚起を定常的にウォッチする導線を持つ、(3) 名前解決が止まった場合の影響範囲と復旧手順を、机上演習で一度通しておく——の3点です。IPAはインシデント対応の机上演習教材を公開しており、こうした「止まったときに動ける」訓練の素材として使えます。
まとめ
- CVE-2025-13878は、BIND 9を遠隔・認証不要でクラッシュさせるDoS脆弱性(CVSS 7.5)。権威・リゾルバ双方が対象で、回避策はない。
- 影響を受けるのは9.18.40~9.18.43/9.20.13~9.20.17/9.21.12~9.21.16系。修正版は9.18.44/9.20.18/9.21.17。稼働バージョンの確認と更新が唯一の対策。
- DNSは止まると影響が連鎖する基盤。平時からの資産台帳・注意喚起のウォッチ・机上演習が、この種の脆弱性への地力になる。
出典
- IPA「BIND 9の脆弱性対策について(CVE-2025-13878)」 https://www.ipa.go.jp/security/security-alert/2025/alert20260123.html
- ISC Knowledge Base「CVE-2025-13878: Malformed BRID/HHIT records can cause named to terminate unexpectedly」 https://kb.isc.org/docs/cve-2025-13878
コメント