-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2016-0002
                                                             JPCERT/CC
                                                            2016-01-12

                  <<< JPCERT/CC Alert 2016-01-12 >>>

     DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160002.html


I. 概要

  権威 DNS サーバの設定不備により、必要な IP アドレス以外からのゾーン
転送要求に応答し、ゾーン情報が第三者に流出する危険性があります。

  ゾーン情報には、ゾーンの管理情報 (サーバ名や IP アドレス等) が保持さ
れており、それらが外部に流出することで、組織のサーバやネットワーク構成
を推測され、組織のネットワークやサーバのセキュリティに対する、潜在的な
脅威の増加につながる可能性があります。

  JPCERT/CC では、日本国内にある一定数の権威 DNS サーバにて、ゾーン情
報が取得可能であるとの情報を得ました。組織のシステム管理者は、自組織で
保有している DNS サーバの設定を確認し、適切な設定を施すことをお勧めし
ます。


II. 対策

  権威 DNS サーバにおけるゾーン情報の転送設定においては、必要のない IP
アドレスからのゾーン転送要求を制限し、意図しない情報流出を防ぐことを、
お勧めします。

  - プライマリサーバでは、セカンダリサーバの IP アドレスからのゾーン転
    送要求のみを受けつけるよう設定する
  - セカンダリサーバでは、すべての IP アドレスからのゾーン転送の要求を
    拒否する

  なお、設定方法は、使用している DNS サーバ のソフトウエアにより異なり
ます。設定変更の適用については、十分に事前検証を行ったうえで実施してく
ださい。詳細は、以下を参考にしてください。

    株式会社日本レジストリサービス (JPRS)
    設定ガイド：ゾーン転送要求への応答を制限するには【BIND編】
    http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html

    マイクロソフト社
    ゾーン転送設定を変更する
    https://technet.microsoft.com/ja-jp/library/cc771652.aspx


III. 参考情報

    株式会社日本レジストリサービス (JPRS)
    権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
    http://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html

    一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
    権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
    https://www.nic.ad.jp/ja/topics/2016/20160112-01.html

    US-CERT
    DNS Zone Transfer AXFR Requests May Leak Domain Information
    http://www.us-cert.gov/ncas/alerts/TA15-103A


今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJWlIPxAAoJEDF9l6Rp7OBIY8MH/1+27J6vEDWKFh2ojbSP6tfL
NwsEddHxJU9fmTJOoHksxwenlPue1XxNKTxg+KP6dxZw+J9YNJheRqL7AMHuZxA3
r1lhNhELVtHJXfnXxH5KZUyRYglIxr6TH50QbXDFWBbfBlv/pjMlOQ1K8G3KltWZ
kLvby3vnq3wZQ8WsfrnBlXesG5Xvcu7deDWxzWQlQNgdi2LvqOS45p9q5RtNIwjt
54RxB4TW2Ix4gT/VZjRzmKDpRcrXH2C/UHoDi3b6MoWAYUyEy5TGdTbY5NqhOAav
JGNgtdu8yWvbKtCwljC7RgoSYmefYfXBm7YASMOJuqBkxB4Om5r2ABdAh7813Rg=
=03gf
-----END PGP SIGNATURE-----