減らない脆弱性 -隠れオープンリゾルバ-

E-ONTAP.COM / 中京大学工学部鈴木常彦
Nov 13, 2022 JASMIN 2022 Fall
http://www.e-ontap.com/misc/jasmin2022fall/

セキュリティは VUCA の重要な要素

VUCA (ブーカ) というキーワードは覚えにくいので真ん中に inSecure を入れて VUSCA (ブースカ) にしてはどうか?

オープンリゾルバとは

アクセス制限されていないリゾルバ
(DNS キャッシュサーバや DNS プロキシ)
キャッシュポイズニング (偽応答注入) されやすい
DNS 水責め攻撃 (DDoS) の踏み台にされる
DNS リフレクター攻撃 (DDoS) の踏み台にされる
情報漏洩 (キャッシュ内容) につながることもある

隠れオープンリゾルバとは

問題なのはリゾルバではなくネットワーク (境界ルータ or F/W)
攻撃に晒されるのは DNS ばかりではない
(NTP,SNMP,SSDP,Memcached,LDAP,ICMP,...)
リゾルバではアクセス制限 (許可外のクエリは REFUSED)
許可内の送信元 IP アドレスに偽装するとクエリを受け入れ
ログを監視できるドメイン名のクエリを撃ち込むことで検出可能
キャッシュポイズニングされやすい
DNS水責め攻撃 (DDoS) の踏み台になりやすい
DNSリフレクション攻撃の踏み台としては限定的 (許可範囲内)

隠れオープンリゾルバ対策

サーバ (リゾルバ) でアクセス制限するだけでは不足
境界ルータ (F/W) の外側インターフェイスから内部アドレス(詐称)の流入を止める
```
deny all from 192.0.2.0.24 to any in via ${外側IF}
```
境界ルータ or F/W の内側インターフェイスから内部アドレス以外(詐称)の流出を止める (攻撃元にならないため)
```
deny all from not 192.0.2.0/24 to any in via ${内側IF}
```
IP TTL によるブロック (サーバ管理者の自衛策)
```
deny ip from 192.0.2.0/24 to me not ipttl 64,128,255
```

(例は FreeBSD の ipfw)

オープンリゾルバの調査

過去の調査

2008年 48,594 の JP ドメインの 18,190 の権威サーバを調べた結果、77% にあたる 23,609 がキャッシュ兼用のオープンリゾルバ (筆者[1])
2013年網羅的なスキャンで発見された約 3,000 万の DNS サーバ (port 53 が応答するもの)のうち 82.5%がオープンリゾルバ (Yuuki Takano ら[2])
2018年 54.6%〜79.4% (大井ら[3])

直近の調査

2022年8月末 104,980 の DNS リゾルバを調査し 1,513 (1.4%) を発見
104,980 中 JP は2,462 で、そのうち 59 (5.3%) がオープン
(つまり JP は世界に対して 4 倍ほど多い)

かなり減った! 2008 年頃からの各所による啓発活動の成果! (と思っていた)

[1] オープンリゾルバの状況, 鈴木常彦, 情報処理学会研究報告(IPSJ SIG technical reports) 2008 (37), 89-91, 2008-05
[2] The Ecology of DNS Open Resolvers, Yuuki Takano and Ruo Ando and Satoshi Uda andc Takeshi Takahashi and Tomoya Inoue, ICECE Transaction B, Vol. J97-B, pp. 873-889, 2014.
[3] オープンDNSリゾルバの現状把握手法の提案と評価, 大井,落合,江崎,マルチメディア，分散協調とモバイルシンポジウム2018論文集, 2018, 1126-1133, 2018-06-27

隠れオープンリゾルバの調査

2022年8月末 104,980の DNS リゾルバを調査し 7,228 (6.9%) を発見

通常のオープンリゾルバ 1.4% に対し 5 倍が潜んでいたことになる

日本の隠れオープンリゾルバ対策の追跡調査

(隠れオープンリゾルバを放置している日本のドメインより)

2021年3月7日 JP の調査対象の IPアドレス数 2,462 中、隠れオープンリゾルバは 300 ドメイン 736 IP アドレス (30%) ...JPCERT/CCへ届出
その後、追加で発見されたものを加えた774 IPアドレス (31%)を初期値として 2021年4月24日から日毎の追跡調査を開始
Maciej Korczyński らの論文によれば日本に 28,660

日本の隠れオープンリゾルバ対策の推移

日付	脆弱数	90日削減率	削減率	イベント
21/04/24	783			追跡開始
21/07/12	774			公開予告
21/07/22	763	-2.6%	-3.4%	90日後
21/09/07	713			リスト公開
21/10/20	628	-18%	-20%	180日後
22/01/16	609	-3%	-22%	270日後
22/04/16	595	-2.2%	-24%	360日後
22/07/15	586	-1.5%	-25%	450日後

脆弱サイトのリスト公開をまたぐ 3 カ月の間に 18% 減少したのは期待通り
2022年11月8日時点で 575 IPアドレス=初期の 783 の 73%
調査対象の JP の IPアドレス数 2,462 の 23% が未だに脆弱

AC.JP の状況

2021年9月 1,667 ドメインの AC.JP から AC.JP のホスト名のついた DNS 権威サーバを 1,132 台抽出して調査
結果、224 の AC.JP ドメインに 323 (全体の約 3 割) の隠れオープンリゾルバを発見
2021年9月17日文部科学省の CSIRT (大臣官房政策課サイバーセキュリティ・情報化推進室) へ情報提供
2022年9月3日 207 ドメイン、291 IPアドレス、 1 年経っても約 9 割が未対策
JP 全体が 1/4 減ったのと比べると大学の対応は非常に鈍い

AC.JP の主な脆弱サイト (東海地域)

3 aichi-gakuin.ac.jp.
2 wakayama-u.ac.jp.
2 yokkaichi-u.ac.jp.
2 aichi-med-u.ac.jp.
1 wakayama-med.ac.jp.
1 tokoha.ac.jp.
1 suzuka-u.ac.jp.
1 nagoya-cu.ac.jp.
1 kawai-juku.ac.jp.
1 hal.ac.jp.
1 gifu-kyoiku.ac.jp.
1 aut.ac.jp.
1 aichi-pu.ac.jp.

GO.JP (内部名 NS のみ)

当初 ('21/12/6)

enri.go.jp. (国立研究開発法人海上・港湾・航空技術研究所)
gov-online.go.jp (内閣府政府広報室)
jasso.go.jp. (独立行政法人日本学生支援機構)
kahaku.go.jp. (独立行政法人国立科学博物館)
kokusen.go.jp. (独立行政法人国民生活センター)
mofa.go.jp. (外務省)
nabunken.go.jp. (奈良国立文化財研究所)
nims.go.jp. (国立研究開発法人物質・材料研究機構)
narahaku.go.jp. (奈良国立博物館)
nier.go.jp. (国立教育政策研究所)
rehab.go.jp. (国立障害者リハビリテーションセンター)

現在 ('22/11/9)

mofa.go.jp. (外務省)
nict.go.jp. (国立研究開発法人情報通信研究機構) ... 2022/4/14 出現
enri.go.jp. (国立研究開発法人海上・港湾・航空技術研究所)

JNSA (日本ネットワークセキュリティ協会) 会員組織

2022.11.10現在

まとめと議論

まとめ

オープンリゾルバは全体が 1.4% に対して JP は 5.3% と高い
通常のオープンリゾルバの約 5 倍の 6.9% の隠れオープンリゾルバを発見 (JP は 30%)
脆弱ドメインの公開の効果は大きい (18% 減少)
調査開始からの約 1 年半で対策されたのは 24% のみ
AC.JP では約 1 割しか対策が進んでいない

議論

ネットワークのセキュリティは見捨てられている。(セキュリティの対象は Web やパソコンばかり)
なぜ脆弱性は放置されるのか? (お金? 知識? 認識? 技術者の地位?)
脆弱性情報は隠されるべきか? (ジレンマ: 攻撃手法を広めたくない vs 守る側に伝わらない)
かくも砂上の楼閣となっているネット社会の VUCA を我々は生き抜けるのか?

参考リンク

本論文PDF はこちら (学会提出版のTYPOを一部修正)

お問い合わせ先: tss@suzuki.sist.chukyo-u.ac.jp