Designing The Future KDDI

ポップアップを閉じる

弊社インターネット接続サービスにおけるセキュリティ対策実施のお知らせ

2014年8月25日 初版掲載
2016年4月5日 一部内容更新

弊社インターネット接続サービスにおいて、セキュリティの強化を目的として、2014年10月下旬以降順次、各種セキュリティ対策を実施します。
詳細は下記をご参照ください。

記

1. 参照用DNSサーバのアクセス制限について

【実施内容】

弊社インターネット接続サービスで提供している参照用DNSサーバの名前解決 (リゾルバ) 機能へのアクセス制限を実施します。
アクセス制限の実施以降、KDDIのIPアドレスからのみ利用可能となります。

【対象】

弊社インターネット接続サービス (注1) で提供している全ての参照用DNSサーバ

  • 注1)
    au one net公衆無線LANサービスを除く。
【実施時期】

2014年10月下旬~2014年11月末 (順次実施)
(以降、KDDIのIPアドレスからのみ利用可能となります。)

【お客さまへの影響】

弊社インターネット接続サービスからのご利用に影響はございません。
他社のインターネット接続サービスをご利用で、弊社の参照用DNSサーバを設定されていた場合、インターネットへの接続に問題が生じる場合がありますのでご注意ください。

【お願い事項】

他社インターネット接続サービスご利用の場合には、ご利用事業者の開通通知書等に記載されている参照用DNSサーバが正しく設定されていることをご確認ください。

2. 特定ポート宛て通信の遮断について

【実施事項】

弊社インターネット接続サービス「au one net」において、外部 (インターネット側) からお客さまの端末 (PC、ブロードバンドルータ等) のIPアドレス宛通信のうち、以下のポートを遮断します。

  • 53番ポート (DNSサーバとの通信に利用するポート番号)
  • 123番ポート (時刻同期サーバ (NTP) との通信に利用するポート番号)
【対象】

au one net (auひかりを除く)

【実施時期】

2016年4月中旬~2016年6月末 (順次実施)

【お客さまへの影響】

○本セキュリティ対策を実施後、au one netの回線配下で権威DNS (Authority DNS) サーバのご利用はできなくなります。

○また、本セキュリティ対策を実施後、お客さまのご利用環境によっては、名前解決不可により一部インターネット接続に影響が生じる可能性がございます。影響が生じた場合においても、参照用DNS (Cache DNS) を以下のIPアドレスに設定することで影響を回避することが可能です。

<参照用DNS>

Primary DNS: 210.196.3.183
Secondary DNS: 210.141.112.163

■ 対策の背景

近年、オープンリゾルバ (注2) となっているDNSサーバを踏み台としたDNS アンプ攻撃 (注3) と呼ばれるサイバー攻撃の事例が多く確認され、深刻な問題となっています。
また、オープンNTPサーバ (注4) を踏み台とするNTPアンプ攻撃 (注5) も、応答パケットの増幅率が高いためサイバー攻撃に悪用されやすい状況です。

弊社では、弊社ネットワークからオープンなDNSサーバ、NTPサーバ、ネットワーク機器 (ブロードバンドルータ等) をなくし、安全・安心なネットワークの提供に向けて今後も各種対策を推進していきます。

なお、お客様にてDNSサーバを構築されている場合は、外部からのサイバー攻撃に使われないためにも、設定見直しのほか、可能な限り最新のソフトウェアバージョンを維持されるようお願いします。

  • 注2)
    オープンリゾルバ
    インターネット上の全ての端末からのDNS問合せに応答を返す (名前解決が可能な) 設定となっている参照用DNSサーバのこと。
  • 注3)
    DNSアンプ攻撃
    DNS通信に用いられるUDPプロトコルは、送信元のIPアドレスを容易に詐称でき、また、小さいサイズの通信パケットによる問合せに対し、大きなパケットサイズの応答が返信される特徴があります。その特徴を利用して、直接、もしくはウイルス等に感染させた端末機器等から攻撃先のIPアドレスを詐称してDNSに名前解決の問合せを送信することで、大量の応答通信を攻撃先宛に発生させ、DDoS攻撃を行うサイバー攻撃手法のこと。
  • 注4)
    オープンNTP
    インターネット上の全ての端末からの時刻同期の要求に応答するサーバやネットワーク機器のこと。
  • 注5)
    NTPアンプ攻撃
    NTP (時刻同期) 通信もDNS同様UDPプロトコルを使う通信であり、送信元IPアドレスを容易に詐称が可能です。また、monlist コマンドの仕様を悪用することで要求に対して、数百倍の大きなパケットの応答を返す可能性があり、サイバー攻撃の手段として利用されている。
【参考1】オープンリゾルバ注意喚起関連情報
  • 新規ウィンドウが開きます<JPNIC> オープンリゾルバ (Open Resolver) に対する注意喚起
  • 新規ウィンドウが開きます<JPRS> DNSサーバーの不適切な設定「オープンリゾルバー」について
  • 新規ウィンドウが開きます<JPCERT/CC> DNSの再帰的な問い合わせを使ったDDoS攻撃に関する注意喚起
【参考2】NTPサーバに関する注意喚起
  • 新規ウィンドウが開きます<JPCERT/CC> ntpdのmonlist機能を使ったDDoS攻撃に関する注意喚起
ポップアップを閉じる

COPYRIGHT (C) KDDI CORPORATION, ALL RIGHTS RESERVED.