ニュース

権威DNSサーバーの設定不備でゾーン情報流出、設定の再確認を

 権威DNSサーバーの設定不備によるゾーン情報流出の危険性について、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)や株式会社日本レジストリサービス(JPRS)、一般社団法人日本ネットワークインフォメーションセンター (JPNIC)が12日、注意喚起を出した。管理者に対して設定の再確認を呼び掛けている。

 アクセスコントロールが適切に設定されていないために、必要なIPアドレス以外からのゾーン転送要求に応答し、第三者にホスト名とIPアドレスの一覧が流出してしまうというもの。こうした情報が悪意の第三者に流出すれば、その情報に基づいたポートスキャンの実行、ネットワーク構成の推測、サービス提供形態の分析など、潜在的な脅威の増加につながる危険性があるとしている。

 JPCERT/CCなどによると、こうした状態で運用され、ゾーン情報が取得可能な権威DNSサーバーが日本国内に一定数あるのだという。

 対策として、権威DNSサーバーにおけるゾーン情報の転送設定において、必要のないIPアドレスからのゾーン転送要求を制限することを推奨している。具体的には、プライマリサーバーではセカンダリサーバーのIPアドレスからのゾーン転送要求のみを受け付けるよう設定すること、セカンダリサーバーではすべてのIPアドレスからのゾーン転送の要求を拒否することの2点を挙げている。

 設定方法は使用しているDNSソフトによって異なるが、JPRSでは「BIND」でゾーン転送要求への応答を制限する手順を示した設定ガイドも公開した。

(永沢 茂)