---------------------------------------------------------------------
■権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
(2016年1月12日公開)
株式会社日本レジストリサービス(JPRS)
初版作成 2016/01/12(Tue)
---------------------------------------------------------------------
▼概要
JPRSでは、アクセスコントロールが適切に設定されておらず、必要なIPアド
レス以外からのゾーン転送要求を許可する状態になっている権威DNSサーバー
が、日本国内に一定数存在している旨の情報を入手しました。
こうした状態で権威DNSサーバーが運用されていた場合、悪意を持つ第三者
にホスト名とIPアドレスの一覧が流出し、ネットワーク構成の推測やサービ
ス提供形態の分析など、当該組織のネットワークやサーバーのセキュリティ
に対する、潜在的な脅威の増加につながる危険性があります。
JPRSではすべての権威DNSサーバーの管理者・管理組織に対し、意図しない
ゾーン転送要求を拒否するための適切なアクセスコントロールの設定と、関
連する設定内容の再確認の実施を強く推奨します。
▼詳細
▽ゾーン転送の概要
DNSではホスト名とIPアドレスの対応や電子メールの配送先ホストの情報な
どを管理対象となる各ゾーンごとに、一覧表(ゾーンデータ)の形で管理し
ます。
DNSでは冗長性の確保のため、各ゾーンデータを提供する権威DNSサーバーを
複数台設置できます。これらの権威DNSサーバーでは管理対象のゾーンデー
タを、何らかの手段で同期する必要があります。
その手段として、DNSではゾーン転送という機能が提供されています。ゾー
ン転送では、ゾーンデータのコピー先(セカンダリサーバー)からコピー元
(プライマリサーバー)にゾーン転送要求を送信し、要求を受け取ったプラ
イマリサーバーがセカンダリサーバーへの応答としてゾーン情報を提供しま
す。現在ではDNS NOTIFYによる更新通知機能を活用した、より効率的な運用
形態が一般的です(図1)。
+------------+ +------------+
| |===(1)DNS NOTIFYにより更新を通知==>| |
| プライマリ | | セカンダリ |
| サーバー |<==(2)ゾーン転送要求の送信=========| サーバー |
+ - - - - - -+ + - - - - - -+
|ゾーンデータ|===(3)ゾーン情報の提供============>|ゾーンデータ|
| (コピー元) | | (コピー先) |
+------------+ +------------+
図1:DNS NOTIFYを用いたゾーン転送の仕組み
▽アクセスコントロールの不備によるゾーンデータの流出
権威DNSサーバーはゾーン転送要求により、ゾーンデータを転送します。そ
のため、権威DNSサーバーにおいてゾーン転送に関するアクセスコントロー
ルの設定に不備があった場合、外部からの不正なゾーン転送要求により意図
しない形でゾーン転送が実行され、悪意を持つ第三者にゾーンデータ全体が
流出する可能性があります。
この問題は1990年代には既に認識されており、JP DNSサーバーでは1999年5
月に外部からのゾーン転送を拒否する設定を実施しています(*1)。また、
1999年7月には脆弱性の一つとして、CVE(*2)が公開されています(*3)。
(*1)JPドメインのDNSゾーン情報・逆引き情報転送停止
およびJPドメインリスト等の配布停止について
<https://www.nic.ad.jp/ja/topics/1999/19990401-01.html>
(*2)CVE:Common Vulnerabilities and Exposures
米国の非営利法人MITRE社が作成・公開している、脆弱性情報の一覧
です。各CVEには一意のCVE-IDが割り当てられます。CVEの詳細につ
いてはIPAが公開している以下の文書も併せてご参照ください。
共通脆弱性識別子CVE概説
<https://www.ipa.go.jp/security/vuln/CVE.html>
(*3)CVE - CVE-1999-0532
<https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0532>
▽影響範囲
悪意を持つ第三者にホスト名とIPアドレスの一覧が流出することにより、そ
の情報に基づいたポートスキャンの実行、ネットワーク構成の推測、サービ
ス提供形態の分析など、当該組織のネットワークやサーバーのセキュリティ
に対する、潜在的な脅威の増加につながる危険性があります(*4)。
(*4)攻撃者の視点から見た分析の例が、以下の記事にまとめられています。
セキュリティ対策の「ある視点」(5):
DNS、管理者として見るか? 攻撃者として見るか? (2/3)
<http://www.atmarkit.co.jp/ait/articles/0711/30/news154_2.html>
特に、当該サーバーがいわゆる共用DNSサービスの権威DNSサーバーであった
場合、多数の顧客のゾーンデータが脅威に晒される危険性があり、注意が必
要です。
▼対策
▽適切なアクセスコントロールの実施
ゾーン転送によるゾーンデータの流出を防ぐため、権威DNSサーバーにおい
て以下のアクセスコントロールを実施します。なお、ゾーン転送については
プライマリサーバーに加え、セカンダリサーバーにおけるアクセスコントロー
ルの実施も必要になることにご注意ください。
・プライマリサーバーにおいて、セカンダリサーバーからのゾーン転送要求
のみを許可する
・セカンダリサーバーにおいて、すべてのゾーン転送要求を拒否する
なお、BINDにおける具体的な設定・確認の方法につきましては、以下の資料
を併せてご参照ください。
■設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
<http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html>
▽設定の再確認と顧客に対する注意喚起の実施の検討
セキュリティ確保の観点から、DNSアウトソーシングサービス、レンタルサー
バーサービス・クラウドサービスなどをご提供されているサービスプロバイ
ダー各位におかれましては、共用DNSサービス用の権威DNSサーバーのゾーン
転送の設定の再確認と、本件に関する顧客への注意喚起の実施をご検討くだ
さい。
▼参考リンク
- JPCERT/CC
DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起
<https://www.jpcert.or.jp/at/2016/at160002.html>
- JPNIC
権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
<https://www.nic.ad.jp/ja/topics/2016/20160112-01.html>
- US-CERT
Alert (TA15-103A)
DNS Zone Transfer AXFR Requests May Leak Domain Information
<https://www.us-cert.gov/ncas/alerts/TA15-103A>
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2016/01/12 11:00 初版作成
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.