発信元IPアドレスを偽装したオープン・リゾルバ探索行為が増加(警察庁) | ScanNetSecurity
2021.06.20(日)

発信元IPアドレスを偽装したオープン・リゾルバ探索行為が増加(警察庁)

警察庁は、偽装された発信元IPアドレスからのオープン・リゾルバの探索行為に起因すると考えられるパケットを多数検知しているとして、注意喚起を発表した。

脆弱性と脅威 脅威動向
警察庁は2月17日、偽装された発信元IPアドレスからのオープン・リゾルバの探索行為に起因すると考えられるパケットを多数検知しているとして、注意喚起を発表した。DNSリフレクター攻撃の踏み台とならないように、管理するDNS サーバ等の設定を確認することを推奨している。警察庁の定点観測システムにおいて、2月4日以降、53/UDPを発信元ポートとするパケットを多数観測している。

これらのパケットの多くはDNS問い合わせに対する応答パケットであった。また、発信元となっているIPアドレスの多くが、DNSサーバとして外部に公開されているものであることが判明している。このことから、何者かが発信元IPアドレスを偽装した上で、当該DNSサーバに対してDNS問い合わせを実施しているものと考えられる。また、問い合わせを行った対象サーバが、自らで再帰問い合わせを行うオープン・リゾルバであった場合には、対象サーバがオープン・リゾルバであることを判別することが可能であると考えられる。

IPアドレスの偽装は、身元の隠蔽や発信元IPアドレスが不審なアクセスの発信元としてセキュリティ対策企業等が作成するアクセス拒否リストに登録されることを防ぐためという可能性もある。警察庁では、管理する機器がDNSリフレクター攻撃の踏み台として悪用されないために、DNSサーバとブロードバンドルータの適切な運用が重要としている。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×