各位
DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160002.html
I. 概要
権威 DNS サーバの設定不備により、必要な IP アドレス以外からのゾーン転送要求に応答し、ゾーン情報が第三者に流出する危険性があります。
ゾーン情報には、ゾーンの管理情報 (サーバ名や IP アドレス等) が保持されており、それらが外部に流出することで、組織のサーバやネットワーク構成を推測され、組織のネットワークやサーバのセキュリティに対する、潜在的な脅威の増加につながる可能性があります。
JPCERT/CC では、日本国内にある一定数の権威 DNS サーバにて、ゾーン情報が取得可能であるとの情報を得ました。組織のシステム管理者は、自組織で保有している DNS サーバの設定を確認し、適切な設定を施すことをお勧めします。
II. 対策
権威 DNS サーバにおけるゾーン情報の転送設定においては、必要のない IPアドレスからのゾーン転送要求を制限し、意図しない情報流出を防ぐことを、お勧めします。
- プライマリサーバでは、セカンダリサーバの IP アドレスからのゾーン転
送要求のみを受けつけるよう設定する
- セカンダリサーバでは、すべての IP アドレスからのゾーン転送の要求を
拒否する
なお、設定方法は、使用している DNS サーバ のソフトウエアにより異なります。設定変更の適用については、十分に事前検証を行ったうえで実施してください。詳細は、以下を参考にしてください。
株式会社日本レジストリサービス (JPRS)
設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html
マイクロソフト社
ゾーン転送設定を変更する
https://technet.microsoft.com/ja-jp/library/cc771652.aspx
III. 参考情報
株式会社日本レジストリサービス (JPRS)
権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
http://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
https://www.nic.ad.jp/ja/topics/2016/20160112-01.html
US-CERT
DNS Zone Transfer AXFR Requests May Leak Domain Information
http://www.us-cert.gov/ncas/alerts/TA15-103A
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2016-0002
JPCERT/CC
2016-01-12
JPCERT/CC Alert 2016-01-12
DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160002.html
I. 概要
権威 DNS サーバの設定不備により、必要な IP アドレス以外からのゾーン転送要求に応答し、ゾーン情報が第三者に流出する危険性があります。
ゾーン情報には、ゾーンの管理情報 (サーバ名や IP アドレス等) が保持されており、それらが外部に流出することで、組織のサーバやネットワーク構成を推測され、組織のネットワークやサーバのセキュリティに対する、潜在的な脅威の増加につながる可能性があります。
JPCERT/CC では、日本国内にある一定数の権威 DNS サーバにて、ゾーン情報が取得可能であるとの情報を得ました。組織のシステム管理者は、自組織で保有している DNS サーバの設定を確認し、適切な設定を施すことをお勧めします。
II. 対策
権威 DNS サーバにおけるゾーン情報の転送設定においては、必要のない IPアドレスからのゾーン転送要求を制限し、意図しない情報流出を防ぐことを、お勧めします。
- プライマリサーバでは、セカンダリサーバの IP アドレスからのゾーン転
送要求のみを受けつけるよう設定する
- セカンダリサーバでは、すべての IP アドレスからのゾーン転送の要求を
拒否する
なお、設定方法は、使用している DNS サーバ のソフトウエアにより異なります。設定変更の適用については、十分に事前検証を行ったうえで実施してください。詳細は、以下を参考にしてください。
株式会社日本レジストリサービス (JPRS)
設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html
マイクロソフト社
ゾーン転送設定を変更する
https://technet.microsoft.com/ja-jp/library/cc771652.aspx
III. 参考情報
株式会社日本レジストリサービス (JPRS)
権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
http://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html
一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
https://www.nic.ad.jp/ja/topics/2016/20160112-01.html
US-CERT
DNS Zone Transfer AXFR Requests May Leak Domain Information
http://www.us-cert.gov/ncas/alerts/TA15-103A
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
