外務省 (mofa.go.jp) の隠れオープンリゾルバが 2 月 2 日に対策されました。JPCERT/CC に報告したのが昨年の 12 月 3 日なのでちょうど 2 ヶ月ですね。
mofa.go.jp の 3 つの権威サーバのうち ns1.mofa.go.jp と ns2.mofa.go.jp がキャッシュサーバ兼用で隠れオープンリゾルバとなっていたもので、これらを含む外務省のネットワークが各種の送信元詐称攻撃に脆弱な状態だったわけです。しかもこれらのサーバは酷いことに Google Public DNS (8.8.8.8/8.8.4.4) にフォワード設定がなされているようでした。外務省のクエリが米国に筒抜けだったわけです。また外務省を踏み台として外国が攻撃されていたら大変な事態になっていたかもしれません。(訂正: 誤認でしたので現在もこの脅威は続いています)
また同時期に 12 の GO.JP ドメイン 15 サーバを報告してありますが、これまでに対策されたのは、6 ドメイン 7 サーバとなっています。(昨年 3 月 7 日にも気象庁を含む 8 ドメイン 13 サーバを JPCERT/CC に報告しましたがこちらは 9 月 7 日のリスト公開前後に対策完了しています)
なお上記はネームサーバ名が GO.JP のものだけです。外部名(ISP 等)の脆弱なネームサーバを利用している GO.JP が 13 ドメイン、26 サーバを 12月 22 日に JPCERT/CC に報告してあります。 このうちこれまでに対策されたのは NPB.GO.JP (国立印刷局) のみです。NPB.GO.JP が NS から外した某事業者のサーバはまだ 11 の GO.JP で利用されています。〇〇省や△△省や□□庁や☆☆庁などなどまだまだ日本政府機関の危険な状況は続きます。
追記: 昨夜の調査 (及び今朝の手動での調査) で 2 日越しに外務省の隠れオープンリゾルバの復活を確認しました。念をいれて 2 日間観測を続けて解決と判断して公表したのに。国家機密をばらしてしまい申し訳ありません。同様の状況は福山大学、東京農工大学、立命館大学でも発生していました。その共通点は Goolge Public DNS にフォワードしていることです。何か Google に障害が発生していたのでしょうか、、、。
さらに追記: 外務省、福山大学、東京農工大学、立命館大学は送信元詐称の脆弱性ではなく、サーバ? が異常な仕様であるようです。クエリには REFUSED を返すのに Google にフォワードしてしまうのです。(5/21 追記: 解消したようです)
以下のメールを JPCERT/CC へ送付しました。
外務省の危険な状態も意図せず公開してしまったことですし、対策を促す意図を持って報告から 3ヶ月経過した 3/22 をもって脆弱な GO.JP のリストを公開したいと思います。リスト公開の効果は大きいと判断しています。http://www.e-ontap.com/misc/ngk2022s/#(5)
あらためて各組織に対策を促して頂けますと幸いです。
日本ネットワークセキュリティ協会 (JNSA) 会員ドメインの権威サーバを送信元 IP アドレス詐称した DNS クエリでスキャンしてみました。(IP アドレス以外はごく普通のクエリ)
結果、以下のドメインにおいて調査用ドメイン名の権威サーバへクエリが到達しました。これらのサーバは権威・キャッシュ兼用サーバであるとともに隠れオープンリゾルバであり、これらネットワークは送信元詐称攻撃に脆弱だと推察できます。(なお一部*は真正のオープンリゾルバでありネットワークの脆弱性は不明)
なお、自社のネットワークに穴があるケースと利用している DNS 事業者 (特に ns00.vips.ne.jp, ns01.vips.ne.jp / 昨年 3 月に JPCERT/CC に報告済) に穴があるケースがあります。
専門家集団として対策とこの問題の注意喚起をぜひお願いしたいと思います。(自社が利用している脆弱な DNS 事業者やこれらのリストに対策の営業をかけるのもよいですね)
ドメイン名:脆弱なネームサーバ abeam.com:ns00.vips.ne.jp abeam.com:ns01.vips.ne.jpadobe.com:adobe-dns-04.adobe.com* (23/9/27 消滅) alaxala.com:ns00.vips.ne.jp alaxala.com:ns01.vips.ne.jp alsi.co.jp:dns.alsi.co.jp alsi.co.jp:ns1.alsi.co.jpaltairsecurity.com:betelgeuse.altairsecurity.com(22/6/16 消滅) asgent.co.jp:uns02.usen.ad.jp * canon-its.co.jp:ns3.fine.ad.jp creative-japan.co.jp:ns00.vips.ne.jp creative-japan.co.jp:ns01.vips.ne.jpcybersolution.co.jp:topaz.cyberspace.ne.jp(22/9/13 消滅) daikodenshi.jp:ns1.daikodenshi.jp daikodenshi.jp:ns2.daikodenshi.jp htnet.co.jp:ns1.htcn.ne.jp htnet.co.jp:ns2.htcn.ne.jp imatrix.co.jp:ns1.imatrix.co.jp (22/7/16 出現) infosec.co.jp:ns00.vips.ne.jp infosec.co.jp:ns01.vips.ne.jpisid.co.jp:ns00.vips.ne.jp(23.1.23 消滅)isid.co.jp:ns01.vips.ne.jppwc.com:us-riczqipdr04.pwc.com ... (22/6/15 出現, 22/7/11 以降消滅, 22/7/24 再出現) pwc.com:us-atlkippr10.pwc.com ... (22/8/4 出現) pwc.com:us-atlkippr11.pwc.com ... (22/8/4 出現) ... この 3 つは謎のアプライアンス kaspersky.co.jp:ns1.kasperskylabs.net kaspersky.co.jp:ns2.kasperskylabs.net kaspersky.co.jp:ns3.kasperskylabs.net marubeni-sys.com:ns00.vips.ne.jp marubeni-sys.com:ns01.vips.ne.jpmcafee.com:dns-a.mcafee.com(23/2/15 消滅)mcafee.com:dns-b.mcafee.com(23/3/27 消滅) mind.co.jp:tokio.mind.ad.jp motex.co.jp:dns01.datacenter.ne.jp motex.co.jp:dns02.datacenter.ne.jp mss.co.jp:ns00.vips.ne.jp mss.co.jp:ns01.vips.ne.jpnec.co.jp:tyo200.nec.co.jp(23/2/10 消滅) neec.ac.jp:ns1.neec.ac.jp neec.ac.jp:ns2.neec.ac.jp netone.co.jp:ns00.vips.ne.jp netone.co.jp:ns01.vips.ne.jposaka.cci.or.jp:linda3.kaigisho.com(23/7/13 消滅)osaka.cci.or.jp:linda4.kaigisho.com(23/7/12 消滅) plott.co.jp:ns1.nameserver.ne.jp (23/6/13 消滅, 6/29 復活) plott.co.jp:ns2.nameserver.ne.jp (23/6/13 消滅, 6/29 復活)rsa.com:emcns8.emc.com (2022/03 NS 変更)...emc.com は引き続き脆弱 (謎のアプライアンス) ryobi.co.jp:ns1.ryobi.co.jp ryobi.co.jp:ns2.ryobi.co.jp scsk.jp:ns03.scsk.jp scsk.jp:ns04.scsk.jp seiko-sol.co.jp:ns1.ssol-ix.jp shinko-1930.co.jp:uns02.usen.ad.jp * softbanktech.co.jp:ns00.vips.ne.jp softbanktech.co.jp:ns01.vips.ne.jp soliton.co.jp:ns2.soliton.co.jpsony.co.jp:ns4.sony.co.jp...(23/9/11 消滅) toshiba-sol.co.jp:ns00.vips.ne.jp toshiba-sol.co.jp:ns01.vips.ne.jp toshiba.co.jp:ns00.vips.ne.jp toshiba.co.jp:ns01.vips.ne.jp trans-cosmos.co.jp:ns3.trans-cosmos.co.jp ... new (23/6/26 出現) trendmicro.co.jp:tmns3.trendmicro.com ...(22/7/26 出現) trendmicro.co.jp:tmns4.trendmicro.com ...(22/9/1 出現) ys-net.ne.jp:dns1.ys-net.ne.jp ys-net.ne.jp:dns2.ys-net.ne.jp (* uns02.usen.ad.jp と adobe-dns-04.adobe.com は真正オープンリゾルバでありネットワークの脆弱性は無関係)
公開の釈明:
JPCERT/CC (1/15 報告) は受付の返事がなく、JNSA (2/17 報告) も事務局では対応頂けず公開に至りました。(IPA は以前から門前払い)
スキャンは初歩的なネットワーク知識とプログラミング技術があれば簡単に実行可能 (私のコードは 17 行) であり、権威サーバでもあるこれらは元々穴を隠しきれていないものです。攻撃者は私のリストなど必要としないということです。したがって隠して放置するよりリストを公開して広く注意喚起したほうがよいと判断しました。リストにある企業はセキュリティ関連企業だし穴が開いていても鉄壁の守りでしょう。流行りはゼロトラストですし。
Copyright by T.Suzuki