UNITED STATES COMPUTER EMERGENCY READINESS TEAM

US-CERTは4月13日(米国時間)、「DNS Zone Transfer AXFR Requests May Leak Domain Information|US-CERT」において、DNSサーバのAXFR(Asynchronous Transfer Full Range)リクエストに対するレスポンスを不適切に設定していると、権限を持たない第三者に対してゾーンの内部ネットワーク構成やセンシティブな情報などを漏らすことになりかねないと注意を促した。

AXFRリクエストはゾーン・トランスファーを実現するためのプロトコルで、複数のDNSサーバ間でDNSデータを複製するために用いられる。この設定を間違えると、本来であれば権限を持ったサーバ間のみで共有されるべき情報が、任意の第三者によって取得されてしまう危険性がある。US-CERTは調査によってこうした誤った設定をしたDNSサーバが依然として散見されることが判明したことから、今回のアラートの発表に至ったとしている。

US-CERTは、AXFRリクエストは特定のIPアドレスからのものに絞るなど、ゾーン・トランスファーを実施する対象を制限するように設定することを推奨している。DNSサーバは1度設定されると設定の見直しなどを行わずに使われ続ける傾向がある。利用しているサーバのDNSがAXFRリクエストに関して適切に制限などを設けているかどうか確認することが望まれる。