<<< JPCERT/CC Alert 2016-01-12 >>>

     DNS ゾーン転送の設定不備による情報流出の危険性に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160002.html

I. 概要

  権威 DNS サーバの設定不備により、必要な IP アドレス以外からのゾーン
転送要求に応答し、ゾーン情報が第三者に流出する危険性があります。

  ゾーン情報には、ゾーンの管理情報 (サーバ名や IP アドレス等) が保持さ
れており、それらが外部に流出することで、組織のサーバやネットワーク構成
を推測され、組織のネットワークやサーバのセキュリティに対する、潜在的な
脅威の増加につながる可能性があります。

  JPCERT/CC では、日本国内にある一定数の権威 DNS サーバにて、ゾーン情
報が取得可能であるとの情報を得ました。組織のシステム管理者は、自組織で
保有している DNS サーバの設定を確認し、適切な設定を施すことをお勧めし
ます。

II. 対策

  権威 DNS サーバにおけるゾーン情報の転送設定においては、必要のない IP
アドレスからのゾーン転送要求を制限し、意図しない情報流出を防ぐことを、
お勧めします。

  – プライマリサーバでは、セカンダリサーバの IP アドレスからのゾーン転
    送要求のみを受けつけるよう設定する
  – セカンダリサーバでは、すべての IP アドレスからのゾーン転送の要求を
    拒否する

  なお、設定方法は、使用している DNS サーバ のソフトウエアにより異なり
ます。設定変更の適用については、十分に事前検証を行ったうえで実施してく
ださい。詳細は、以下を参考にしてください。

    株式会社日本レジストリサービス (JPRS)
    設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
    http://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html
   

  マイクロソフト社
    ゾーン転送設定を変更する
    https://technet.microsoft.com/ja-jp/library/cc771652.aspx

III. 参考情報

    株式会社日本レジストリサービス (JPRS)
    権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について
    http://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html

    一般社団法人日本ネットワークインフォメーションセンター (JPNIC)
    権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
    https://www.nic.ad.jp/ja/topics/2016/20160112-01.html

    US-CERT
    DNS Zone Transfer AXFR Requests May Leak Domain Information
    http://www.us-cert.gov/ncas/alerts/TA15-103A

今回の件につきまして当方まで提供いただける情報がございましたら、
ご連絡ください。

==========================================
JPCERT コーディネーションセンター (JPCERT/CC)
TEL: 03-3518-4600
FAX: 03-3518-2177
EMAIL: info@jpcert.or.jp
http://www.jpcert.or.jp/

投稿タグ