外務省 (mofa.go.jp) の隠れオープンリゾルバが 2 月 2 日に対策されました。JPCERT/CC に報告したのが昨年の 12 月 3 日なのでちょうど 2 ヶ月ですね。
mofa.go.jp の 3 つの権威サーバのうち ns1.mofa.go.jp と ns2.mofa.go.jp がキャッシュサーバ兼用で隠れオープンリゾルバとなっていたもので、これらを含む外務省のネットワークが各種の送信元詐称攻撃に脆弱な状態だったわけです。しかもこれらのサーバは酷いことに Google Public DNS (8.8.8.8/8.8.4.4) にフォワード設定がなされているようでした。外務省のクエリが米国に筒抜けだったわけです。また外務省を踏み台として外国が攻撃されていたら大変な事態になっていたかもしれません。(訂正: 誤認でしたので現在もこの脅威は続いています)
また同時期に 12 の GO.JP ドメイン 15 サーバを報告してありますが、これまでに対策されたのは、6 ドメイン 7 サーバとなっています。(昨年 3 月 7 日にも気象庁を含む 8 ドメイン 13 サーバを JPCERT/CC に報告しましたがこちらは 9 月 7 日のリスト公開前後に対策完了しています)
なお上記はネームサーバ名が GO.JP のものだけです。外部名(ISP 等)の脆弱なネームサーバを利用している GO.JP が 13 ドメイン、26 サーバを 12月 22 日に JPCERT/CC に報告してあります。 このうちこれまでに対策されたのは NPB.GO.JP (国立印刷局) のみです。NPB.GO.JP が NS から外した某事業者のサーバはまだ 11 の GO.JP で利用されています。〇〇省や△△省や□□庁や☆☆庁などなどまだまだ日本政府機関の危険な状況は続きます。
追記: 昨夜の調査 (及び今朝の手動での調査) で 2 日越しに外務省の隠れオープンリゾルバの復活を確認しました。念をいれて 2 日間観測を続けて解決と判断して公表したのに。国家機密をばらしてしまい申し訳ありません。同様の状況は福山大学、東京農工大学、立命館大学でも発生していました。その共通点は Goolge Public DNS にフォワードしていることです。何か Google に障害が発生していたのでしょうか、、、。
さらに追記: 外務省、福山大学、東京農工大学、立命館大学は送信元詐称の脆弱性ではなく、サーバ? が異常な仕様であるようです。クエリには REFUSED を返すのに Google にフォワードしてしまうのです。(5/21 追記: 解消したようです)
以下のメールを JPCERT/CC へ送付しました。
外務省の危険な状態も意図せず公開してしまったことですし、対策を促す意図を持って報告から 3ヶ月経過した 3/22 をもって脆弱な GO.JP のリストを公開したいと思います。リスト公開の効果は大きいと判断しています。http://www.e-ontap.com/misc/ngk2022s/#(5)
あらためて各組織に対策を促して頂けますと幸いです。
Copyright by T.Suzuki