Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 26 年 2月 17 日 Topic 発信元 IP アドレスを偽装したオープン・リゾルバ1の探索行為の 増加について 偽装された発信元 IP アドレスからのオープン・リゾルバの探索行為に起因すると考えられるパ ケットを多数検知しています。DNS リフレクター攻撃の踏み台とならないように、管理する DNS サ ーバ等の設定を確認することを推奨します。 1 発信元 IP アドレスを偽装したオープン・リゾルバの探索行為について 警察庁の定点観測システムにおいては、2月4日以降、53/UDP を発信元ポートとするパ ケットを多数観測しています(図1)。 (発信元IP数/日) 3,000 2,500 2,000 1,500 1,000 500 2月16日 2月14日 2月12日 2月10日 2月8日 2月6日 2月4日 2月2日 1月31日 1月29日 1月27日 1月25日 1月23日 1月21日 1月19日 1月17日 1月15日 1月13日 1月11日 1月9日 1月7日 1月5日 1月3日 1月1日 0 図1 53/UDP を発信元ポートとするパケットの1日当たりの発信元 IP アドレス数の推移 (H26.1.1~H26.2.16) 同パケットの内容を確認すると、多くのものは DNS 問い合わせに対する応答パケットでし た。また、発信元となっている IP アドレスの多くが、DNS サーバとして外部に公開されている ものであることが判明しています。このことから、何者かが発信元 IP アドレスを偽装した上で、 当該 DNS サーバに対して DNS 問い合わせを実施しているものと考えられます。 発信元 IP アドレスが偽装されているため、DNS サーバに対して問い合わせを実施した者 は、その応答を受信することはできません。しかしながら、問い合わせを行った対象サーバ が、自らで再帰問い合わせ2を行うオープン・リゾルバであった場合には、図2のとおり対象 サーバがオープン・リゾルバであることを判別することが可能であると考えられます。 1 2 外部ネットワークから任意のドメインについて問い合わせが可能な DNS サーバもしくは同様の機能が有効となっ ているコンピュータ等のこと。DNS リフレクター攻撃の踏み台となる。DNS リフレクター攻撃(DNS リフレクション攻 撃)については、次の資料を参照のこと。 「DNS リフレクション攻撃に対する注意喚起について」(平成 25 年4月 11 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20130411.pdf 問い合わせを受けたドメインに関する情報を自らが持っていない場合に、必要な情報を入手するまで他の DNS サ ーバに問い合わせを行い、その結果を問い合わせ元に回答する動作のこと。 Copyright 2014 Cyber Force Center, NPA JAPAN ⑤詐称されたIPアドレスが 一致した場合に、定点観測 センサーに応答が到達 定点観測 センサー ② オープン・リゾルバの探 索を企図する攻撃者 ⑥ 調査対象 DNSサーバ ① ①探索用ドメインを取得し、レジ ストリに登録 ②発信元IPアドレスを詐称して、 探索用ドメインについて問い合 わせを実施 ⑥攻撃者は、権威DNSサーバの アクセスログを確認することによ り、アクセスが行われたIPアドレ スがオープン・リゾルバであると 判別可能 ④探索用ドメイン の権威DNSサーバ に問い合わせ ③レジストリに、探索用 ドメインの権威DNSサー バを問い合わせ 探索用ドメイン 権威DNSサーバ1 レジストリ2 12 図2 発信元 IP アドレスを詐称した DNS 問い合わせによるオープン・リゾルバの探索手法 なお、発信元 IP アドレスを偽装したうえで、オープン・リゾルバの探索を実施する意図は はっきりとしませんが、身元の隠蔽や、発信元 IP アドレスが不審なアクセスの発信元としてセ キュリティ対策企業等が作成するアクセス拒否リストに登録されることを防ぐためであると考え られます。 1 2 特定のドメインに関する情報を管理する DNS サーバ。「コンテンツ DNS サーバ」とも呼称される。 特定の単位に属するドメイン全体の情報を管理する組織。 Copyright 2014 Cyber Force Center, NPA JAPAN 2 DNS リフレクター攻撃の踏み台とならないために推奨する対策 管理する機器が、DNS リフレクター攻撃の踏み台として悪用されないために、過去の注意 喚起と一部重複しますが、次の対策を実施することを推奨します。 (1) DNS サーバの適切な運用 ア 権威 DNS サーバとキャッシュ DNS サーバ1を分離する。 イ 権威 DNS サーバにおいては、再帰問い合わせの機能を無効とする。 ウ キャッシュ DNS サーバについては、適切なアクセス制限を実施する。 (2) ブロードバンドルータの適切な運用 家庭や小規模な組織のネットワークをインターネットに接続する際に使用されるブロー ドバンドルータについても、本来は拒否するべき外部のネットワークからの問い合わせを 受け付けて、オープン・リゾルバとして動作する物が存在することが判明2しており、確認及 び対策が必要です。 ア 確認用のウェブサイト3等を利用して、管理するブロードバンドルータがオープン・リゾ ルバとして動作していないか確認を実施する。 イ 管理するブロードバンドルータがオープン・リゾルバとして動作していることが判明した 場合には、ファームウェアのアップデートや、適切な設定変更を実施して、オープン・リゾ ルバとして動作している状態を解消する。 以 上 1 2 3 組織内のネットワークからの全ての問い合わせを受け付けて、再帰問い合わせや他のキャッシュ DNS サーバへ転 送することにより得られた結果を応答として返す DNS サーバ。 「JVN#62507275: 複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題」 http://jvn.jp/jp/JVN62507275/ 「オープンリゾルバ確認サイト公開のお知らせ」 http://www.jpcert.or.jp/pr/2013/pr130002.html Copyright 2014 Cyber Force Center, NPA JAPAN
© Copyright 2024 ExpyDoc
