ニュース
「昔IIJを使っていた人」に設定再確認のお願い、IIJがDNSサーバーの仕様変更
(2013/9/25 16:29)
株式会社インターネットイニシアティブ(IIJ)は24日、オープンリゾルバー問題への対策として、IIJのキャッシュDNSサーバーについて仕様を変更するため、以前にIIJを利用していたユーザーがDNSの設定をそのままにしていることなどで不具合の発生が考えられるとして、設定を再確認するよう呼び掛けた。
オープンリゾルバーとは、外部からの再帰的な問い合わせを許可しているDNSキャッシュサーバーのことで、最近ではこうしたオープンリゾルバーを悪用して、大量のトラフィックを標的となるサーバーに送りつける「DNSアンプ攻撃(DNSリフレクション攻撃)」が問題となっている。
IIJでは、初期のインターネットは相互扶助的な性質も持ちあわせており、IIJのユーザー以外からのDNSキャッシュサーバーの利用も特に禁止はしてこなかったという歴史的経緯から、IIJにもオープンリゾルバーが存在し続けてきたと説明。DNSアンプ攻撃の手法が知られるようになっても、実際に悪用される例がさほど多くなかったことや、外部からの利用を禁止することで発生する影響などを考慮して長らく放置されてきたが、最近になって無視できないほどの不正利用が見られるようになってきたため、方針を転換し、外部からのキャッシュDNSサーバーの利用を遮断していくという。
具体的にいつ、どのサーバーでアクセス制限を開始するかは、IIJのサイトで随時告知していく予定。この変更により、現在IIJの接続サービスを利用しているユーザーに影響が出ることはない。
一方、影響が出ることが考えられるのは、過去にIIJの接続サービスを利用していて、現在は別の接続サービスを利用しているにもかかわらず、ルーターのDNS設定がIIJのままになっているケースなどだ。こうした場合でも、現在はIIJのDNSサーバーをそのまま利用できているが、アクセス制限が開始されるとDNSサーバーへの接続が遮断され、実質的にインターネットが利用できなくなる。
このほかにも、ISPを併用していたり、複数回線による冗長化でDNSサーバーを手動設定でIIJに固定しているケースや、最近では「通信が速くなる設定」などとしてIIJのDNSサーバーが紹介されているケースもあるようだとして、DNSサーバーの設定を再確認するよう呼びかけている。
IIJのエンジニアが執筆しているブログ「てくろぐ」では、IIJはこれまで長い間サービスを提供してきたこともあって、過去の経緯を引きずっている設備がいくつか残っているが、今後はこうした「歴史的経緯」と向き合っていくと説明。こうした、古くて現在では適切でない設備についても、順次対応を行っていきたいとしている。