警察庁が中国を発信元とするとみられる、オープンDNSリゾルバーの検索を確認しているという発表を行いました。警察庁の発表と、関連情報が豊富なINTERNET Watchのページを紹介します:
これは、DNSリフレクション攻撃に使うことができるサーバーをあらかじめ検索してリスト化することを目的とするもので、後日攻撃をする際に、このリスト化したサーバーを踏み台として利用するのではないかとみられています。無制限なオープンDNSリゾルバーは今回の検索に限らず攻撃に使われる可能性が常にありますので、関連ネットワーク内からの問い合わせに限るなどの制限をすべきです。
例えば、Red Hat Enterprise Linux系(RHEL、CentOS、Fedoraなど)で本検索が行われて、正しく遮断していると以下のようなログが/var/log/messagesに記録されます(デフォルトから設定を変更していない場合):
Sep 12 15:00:00 SERVERNAME named[1111]: client ***.***.***.***#12345: query (cache) 'a.example.com/ANY/IN' denied※***.***.***.***にはIPアドレス、a.example.comにはドメイン名がそれぞれ入ります。
遮断できているかどうか不安な場合には確認することをお勧めします(ここ数日、スキャンが広範囲に行われているのでファイアウォールなどで遮断していない限り、キャッシュのリクエストが行われているはずです)。
私の管理するサーバーに記録されたIPアドレスを確認すると、発信元は確かに中国のプロバイダーですね…。もっとも、それも踏み台にされているだけ、かもしれませんけどね。