DNS関連技術情報のトップへ戻る

---------------------------------------------------------------------
■権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
  (2016年1月12日公開)

                                株式会社日本レジストリサービス(JPRS)
                                            初版作成 2016/01/12(Tue)
---------------------------------------------------------------------

▼概要

  JPRSでは、アクセスコントロールが適切に設定されておらず、必要なIPアド
  レス以外からのゾーン転送要求を許可する状態になっている権威DNSサーバー
  が、日本国内に一定数存在している旨の情報を入手しました。

  こうした状態で権威DNSサーバーが運用されていた場合、悪意を持つ第三者
  にホスト名とIPアドレスの一覧が流出し、ネットワーク構成の推測やサービ
  ス提供形態の分析など、当該組織のネットワークやサーバーのセキュリティ
  に対する、潜在的な脅威の増加につながる危険性があります。

  JPRSではすべての権威DNSサーバーの管理者・管理組織に対し、意図しない
  ゾーン転送要求を拒否するための適切なアクセスコントロールの設定と、関
  連する設定内容の再確認の実施を強く推奨します。

▼詳細

▽ゾーン転送の概要

  DNSではホスト名とIPアドレスの対応や電子メールの配送先ホストの情報な
  どを管理対象となる各ゾーンごとに、一覧表(ゾーンデータ)の形で管理し
  ます。

  DNSでは冗長性の確保のため、各ゾーンデータを提供する権威DNSサーバーを
  複数台設置できます。これらの権威DNSサーバーでは管理対象のゾーンデー
  タを、何らかの手段で同期する必要があります。

  その手段として、DNSではゾーン転送という機能が提供されています。ゾー
  ン転送では、ゾーンデータのコピー先(セカンダリサーバー)からコピー元
  (プライマリサーバー)にゾーン転送要求を送信し、要求を受け取ったプラ
  イマリサーバーがセカンダリサーバーへの応答としてゾーン情報を提供しま
  す。現在ではDNS NOTIFYによる更新通知機能を活用した、より効率的な運用
  形態が一般的です(図1)。

    +------------+                                     +------------+
    |            |===(1)DNS NOTIFYにより更新を通知==>|            |
    | プライマリ |                                     | セカンダリ |
    |  サーバー  |<==(2)ゾーン転送要求の送信=========|  サーバー  |
    + - - - - - -+                                     + - - - - - -+
    |ゾーンデータ|===(3)ゾーン情報の提供============>|ゾーンデータ|
    | (コピー元) |                                     | (コピー先) |
    +------------+                                     +------------+

               図1:DNS NOTIFYを用いたゾーン転送の仕組み

▽アクセスコントロールの不備によるゾーンデータの流出

  権威DNSサーバーはゾーン転送要求により、ゾーンデータを転送します。そ
  のため、権威DNSサーバーにおいてゾーン転送に関するアクセスコントロー
  ルの設定に不備があった場合、外部からの不正なゾーン転送要求により意図
  しない形でゾーン転送が実行され、悪意を持つ第三者にゾーンデータ全体が
  流出する可能性があります。

  この問題は1990年代には既に認識されており、JP DNSサーバーでは1999年5
  月に外部からのゾーン転送を拒否する設定を実施しています(*1)。また、
  1999年7月には脆弱性の一つとして、CVE(*2)が公開されています(*3)。

  (*1)JPドメインのDNSゾーン情報・逆引き情報転送停止
        およびJPドメインリスト等の配布停止について
        <https://www.nic.ad.jp/ja/topics/1999/19990401-01.html>

  (*2)CVE:Common Vulnerabilities and Exposures
        米国の非営利法人MITRE社が作成・公開している、脆弱性情報の一覧
        です。各CVEには一意のCVE-IDが割り当てられます。CVEの詳細につ
        いてはIPAが公開している以下の文書も併せてご参照ください。
        共通脆弱性識別子CVE概説
        <https://www.ipa.go.jp/security/vuln/CVE.html>

  (*3)CVE - CVE-1999-0532
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0532>

▽影響範囲

  悪意を持つ第三者にホスト名とIPアドレスの一覧が流出することにより、そ
  の情報に基づいたポートスキャンの実行、ネットワーク構成の推測、サービ
  ス提供形態の分析など、当該組織のネットワークやサーバーのセキュリティ
  に対する、潜在的な脅威の増加につながる危険性があります(*4)。

  (*4)攻撃者の視点から見た分析の例が、以下の記事にまとめられています。
        セキュリティ対策の「ある視点」(5):
        DNS、管理者として見るか? 攻撃者として見るか? (2/3)
        <http://www.atmarkit.co.jp/ait/articles/0711/30/news154_2.html>

  特に、当該サーバーがいわゆる共用DNSサービスの権威DNSサーバーであった
  場合、多数の顧客のゾーンデータが脅威に晒される危険性があり、注意が必
  要です。

▼対策

▽適切なアクセスコントロールの実施

  ゾーン転送によるゾーンデータの流出を防ぐため、権威DNSサーバーにおい
  て以下のアクセスコントロールを実施します。なお、ゾーン転送については
  プライマリサーバーに加え、セカンダリサーバーにおけるアクセスコントロー
  ルの実施も必要になることにご注意ください。

  ・プライマリサーバーにおいて、セカンダリサーバーからのゾーン転送要求
    のみを許可する

  ・セカンダリサーバーにおいて、すべてのゾーン転送要求を拒否する

  なお、BINDにおける具体的な設定・確認の方法につきましては、以下の資料
  を併せてご参照ください。

  ■設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
  <http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html>

▽設定の再確認と顧客に対する注意喚起の実施の検討

  セキュリティ確保の観点から、DNSアウトソーシングサービス、レンタルサー
  バーサービス・クラウドサービスなどをご提供されているサービスプロバイ
  ダー各位におかれましては、共用DNSサービス用の権威DNSサーバーのゾーン
  転送の設定の再確認と、本件に関する顧客への注意喚起の実施をご検討くだ
  さい。

▼参考リンク

  - JPCERT/CC

    DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起
    <https://www.jpcert.or.jp/at/2016/at160002.html>

  - JPNIC

    権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
    <https://www.nic.ad.jp/ja/topics/2016/20160112-01.html>

  - US-CERT

    Alert (TA15-103A)
    DNS Zone Transfer AXFR Requests May Leak Domain Information
    <https://www.us-cert.gov/ncas/alerts/TA15-103A>

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。

---------------------------------------------------------------------
▼更新履歴
  2016/01/12 11:00 初版作成


株式会社日本レジストリサービス Copyright©2001-2017 Japan Registry Services Co., Ltd.