■概要　
4 月4 日既報のとおり，JPCERT/CC によると海外 CSIRT などから，日本国内の DNS キャッシュサーバを使用した DDoS 攻撃が発生しているとの報告を受けています．
報告では，攻撃者は外部からの再帰的な問い合わせを許可している DNS キャッシュサーバ (以下，オープンリゾルバ) を使用して，DNS アンプ攻撃を行っているとのことです．攻撃者は，攻撃対象の IP アドレスを送信元 IP アドレスに偽装した再帰的な問い合わせパケットをオープンリゾルバに送信することで，大量の応答パケットや巨大なサイズの応答パケットを攻撃対象 (Web サイトなど)に送りつけます．
外部からの再帰的な問い合わせを受け付けるオープンリゾルバは，攻撃者によって DDoS 攻撃に使用される可能性があります．また，使用しているネットワーク機器やソフトウエア製品に DNS サーバが組み込まれていて，ユーザが知らない間にオープンリゾルバとして，使用されている可能性も考えられます．

自身の運用しているサーバやネットワーク機器で DNS キャッシュサーバが稼働しているか確認し，それらの設定を適切にすることを推奨します．

■対象
サーバやネットワーク機器などにおいて，外部から DNS の再帰的な問い合わせを受け付けるものが対象となります．

- DNS キャッシュサーバ
- DNS キャッシュサーバが稼働しているネットワーク機器

また，ソフトウエア製品の一部には，インストール時に自動的に DNS サーバがインストールされる製品があり，意図せずオープンリゾルバとして稼働している可能性があります．

■対策
運用管理対象のキャッシュサーバにおいて再帰的な問い合わせを受け付ける範囲を確認し，必要最小限になるようアクセス制限を施してください．また，この機会に DNS サーバの設定を確認し，意図した動作をしているか見直すことをお勧めします．

■関連文書
株式会社日本レジストリサービス（JPRS）
DNS の再帰的な問合せを使った DDoS 攻撃の対策について
DNSサーバーの不適切な設定「オープンリゾルバー」について

日本ネットワークインフォメーションセンター（JPNIC）
オープンリゾルバ(Open Resolver)について

US-CERT
DNS Amplification Attacks

Related Information
Inquiry	京都大学 情報部 情報基盤課　情報セキュリティ対策室 TEL：075-753-7490（7490） E-mail：i-s-office Image iimc.kyoto-u.ac.jp