ルータがDDoS攻撃!? オープンリゾルバ・DNSアンプ攻撃確認対策メモ
 
イメージ 2
DNS の再帰的な問い合わせ エリアマップ
(出典
Shadowserver Foundation
 
インターネット接続で欠かせないブロードバンドルータに関連するセキュリティ上の問題が。。。 <UDP 53番ポートに大量アクセス!
 
Open Resolver
(オープンリゾルバ)

★ 同一の悪用した攻撃名
・ DNS Amplification Attack / DNS Amp (DNSアンプ攻撃)
・ DNS Reflection Attack (DNSリフレクション攻撃)
・ DNS Reflector (DNSリフレクター)
 
2014年、オープンリゾルバになってるルータを踏み台にして、複数のインターネットプロバイダにDDoS攻撃が行われネット接続に障害が発生っ!
DNSサーバ障害復旧のお知らせ (DTI)
http://info.dream.jp/trouble/20140530_12088.html

【故障(復旧)】DNSサーバ (NTTぷらら)
http://www.plala.or.jp/support/network/kosyo/tokyo/?entry_id=153656

ブロードバンドルーターのセキュリティーチェックのお願いについて (ケイ・オプティコム/eo)
http://support.eonet.jp/news/194/

DNSサーバの障害発生について (ジュピターテレコム/J:COM)
http://information.myjcom.jp/outage/99.html

DNSサーバ障害について (中部テレコミュニケーション株式会社)
https://www.ctc.co.jp/topics/20140606_1.html

日本国内のオープン・リゾルバを踏み台としたDDoS攻撃発生に起因すると考えられるパケットの増加について (警視庁)

ルータが悪用されうる状態になってないか確認する?

「一般社団法人 JPCERT コーディネーションセンター」が運営してるオープンリゾルバ確認サイトでバッチリ!
 
イメージ 1
お手軽チェック! オープンリゾルバの確認 http://www.openresolver.jp/
 
【確認同意 ⇒ 確認結果】
・ オープンリゾルバではありません。 → 問題なし (緑枠)
・ オープンリゾルバの可能性があります。 → 問題あり (赤枠)
 
《オープンリゾルバ対策》
◆ ファームウェアの最新版が提供されてないか確認・更新
◆ 販売からだいぶ時間が経ちサポート終了製品なら買い替えも

ルータ製造メーカーのオープンリゾルバ対策など

イメージ 3
 
オープンリゾルバ・DNSアンプ攻撃に絡む問題に対して、ルータ製造メーカーの対策などをテキトーに拾ってきましたー。
プロバイダーから「ルーターがオープンリゾルバになっている」「プロバイダーのDNSサーバーに対して過剰なDNS要求が送られて いる」と指摘を受けました (BUFFALO バッファロー)
http://faq.buffalo.jp/app/answers/detail/a_id/15422/
http://faq.buffalo.jp/app/answers/detail/a_id/15462/

複数のブロードバンドルーターがオープンリゾルバとして機能してしまう問題 WHR-300HP2シリーズ、WHR-600Dシリーズ、WMR-300シリーズ (BUFFALO バッファロー)
http://buffalo.jp/support_s/20140802.html
http://buffalo.jp/support_s/s20141001.html
複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 WiMAX製品 URoadシリーズ (シンセイコーポレーション )
http://jvn.jp/jp/JVN62507275/995311/
ブロードバンドルータがオープンリゾルバとして機能してしまう問題 IP38Xシリーズ (NEC)
http://jpn.nec.com/security-info/secinfo/nv13-007.html

ルーター攻撃(DNSアンプ攻撃)によるネット障害の一部報道に関する弊社商品(Aterm)の対応状況について (NEC)
http://121ware.com/product/atermstation/info/2014/info0807.html

NEC AtermWR8700N PA-WR8700N-HP のクチコミ掲示板
http://bbs.kakaku.com/bbs/K0000089609/SortID=16697367/
SEILシリーズに対するオープンリゾルバー問題の影響について (IIJ インターネットイニシアティブ)
http://www.seil.jp/support/security/a01311.html
http://www.seil.jp/support/security/a01411.html
http://www.seil.jp/support/security/a01443.html ;
DNSオープンリゾルバ対策につきまして NetGenesisシリーズ (マイクロリサーチ)
http://www.mrl.co.jp/news/20140418.html
無線LANルーター(2008年生産終了済み製品)「WN-WAPG/Rシリーズ、WN-WAG/Rシリーズ、WN-APG/Rシリーズ」、「WN-G54/R5シリーズ」ご愛用のお客様へお知らせ (IO DATA アイ・オー・データ)
http://www.iodata.jp/support/information/2013/openresolver/
複数のブロードバンドルータがオープンリゾルバとして機能してしまう問題 CentreCOM ARファミリ (アライドテレシス)
http://jvn.jp/jp/JVN62507275/522154/
簡易DNS機能がオープンリゾルバとして機能する問題 古河電工ネットワーク機器 FITELnetシリーズ (古河電工)
http://www.furukawa.co.jp/fitelnet/topic/vulnera_20130919.html

DNSに関する脆弱性の問題について
http://www.furukawa.co.jp/fitelnet/topic/dns2_attacks.html
ヤマハルーターシリーズのセキュリティに関するFAQ オープンリゾルバー(Open Resolver)に対する注意喚起について (Yamaha ヤマハ)
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html
「Biz Boxルータ N1200/N500」および「Netcommunity SYSTEM X7000/RACSIA」をご利用のお客様へ (NTT東日本)
http://web116.jp/ced/support/news/contents/2013/20130924.html
ロジテック SkyLink LAN-WH300N/DGR のクチコミ掲示板
http://bbs.kakaku.com/bbs/K0000127273/SortID=17647149/

2014年6月11日・LAN-W300N/DR ファームウェア(V2基板) Ver2.14を公開しました。 (Logitec ロジテック)
http://dl.logitec.co.jp/software.php?pn=LST-D-449
【CG-WLBARGM】プロバイダから使用しているルータがオープンリゾルバであると指摘されましたが対策はありますか? (Corega コレガ)
http://corega.okbiz.okwave.jp/faq/show/1796
 
【CG-WLBARAGL】プロバイダから使用しているルータがオープンリゾルバであると指摘されましたが対策はありますか?
http://corega.okbiz.okwave.jp/faq/show/1797
 
【CG-BARFX3/CG-WLBARAGM/CG-BARMX2/CG-BARMX3/CG-BARFX3VQ】プロバイダから使用しているルータがオープンリゾルバであると指摘されましたが対策はありますか?
http://corega.okbiz.okwave.jp/faq/show/1798
DNSサーバーの不適切な設定「オープンリゾルバー」について (JPRS)
設定ガイド:オープンリゾルバー機能を停止するには【BIND編】
http://jprs.jp/important/2013/130418.html

その他の脆弱性(1)

オープンリゾルバとは無関係な問題だけど、ルータの管理画面に不正アクセスされてインターネットプロバイダのID流出の被害が発生した超深刻なもの!
重要なお知らせ ロジテック製300Mbps無線LANブロードバンドルータ(LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2)に関するお詫びとお願い (Logitec ロジテック)
http://www.logitec.co.jp/info/2012/0516.html
http://www.logitec.co.jp/info/2013/0820.html

その他の脆弱性(2)

2004~12年まで販売されたIO DATA製の有線LANルータで、UPnP機能がDoS攻撃に悪用される恐れ。
有線ルーター「NP-BBRM」セキュリティの脆弱性の対処に関するご案内
http://www.iodata.jp/support/information/2015/np-bbrm/

オープンリゾルバにまつわるお話

● ファンキー丸さんはTwitterを使っています: "おたくのサーバーからDNSを悪用したDDoS攻撃が発生していると通知を受けた。"
https://twitter.com/funkymaru/status/527629312099241985

● NotchiさんはTwitterを使っています: "さくらのクラウドで建てたサーバがオープンリゾルバになってたwwwwwwwwwwwwww"
https://twitter.com/_notchi/status/481108564132364288

● チョコさんはTwitterを使っています: "名古屋の自宅にRBを設置。その後プロバイダからオープンリゾルバ状態のため、攻撃者の踏み台として利用されている可能性があるというメールが来ました。"
https://twitter.com/owaka05068/status/553490875473354752

● TERA-TypeさんはTwitterを使っています: "オープンリゾルバをナントカせんかい!と、プロバイダーからお叱りが来たぞ(´・_・`)"
https://twitter.com/TERA_Type/status/558373931262820353

● 弊社のDNS サーバが再帰的な問合せを使用する DDoS 攻撃の踏み台にされてしまいました | Kernel Blog II
http://mng.seedcollector.net/blog/?p=324

● [メモ]DNSリフレクター攻撃への対処:BINDへResponse Rate Limitting(RRL)の設置:CentOS5 | くまかけワードプレス日記
http://www.14snows.com/archives/430

● オープンリゾルバのルータだった: diary
http://uchida.cocolog-shizuoka.com/diary/2014/06/post-1fbc.html

● リゾラバ?|やすべぇの気ままなブログ
http://ameblo.jp/yasube0826/entry-11956866336.html

関連キーワードメモ

[オープンリゾルバーとは] [オープンリゾルバ確認サイト] [オープンリゾルバ チェック] [オープンリゾルバ 確認方法] [オープンリゾルバ確認同意] [オープンリゾルバ ロジテック] [Corega オープンリゾルバ] [オープンリゾルバとは] [Logitec オープンリゾルバ] [オープンリゾルバ コレガ] [オープンリゾルバ チェック] [オープンリゾルバ 確認] [オープンリゾルバ バッファロー] [BUFFALO オープンリゾルバ] [DNSアンプ攻撃] [DNSアンプ攻撃 ルーター] [DNSアンプ攻撃 バッファロー] [DNSアンプ攻撃 ルータ] [DNSアンプ攻撃 対策] [DNSアンプ ルーター] [DNSアンプ バッファロー] [DNSアンプ ルータ] [DNS Amp 対策] [DDoS攻撃 対策] …