連載
» 2016年12月19日 05時00分 公開

中国のDNSサーバ稼働状況を探る――謎のバナー、そして北京の奇妙な管理者……統計で見るサイバーセキュリティ群像劇(2)(2/2 ページ)

[安藤類央(国立情報学研究所),@IT]
前のページへ 1|2       

北京の奇妙なバナー

 ここで、前回行ったように、北京のDNSサーバのバナー情報に注目します。下記は北京のDNSサーバに設定されているバナーの出現回数を多い順に並べたものです。

リスト3 北京で設定されているDNSサーバのバナーの出現回数ランキング
1 [Secured_!!!_Here_no_any_useful_information_to_you_!!!_] 1291
2 9.8.1-P1 266
3 I_do_not_know 183
4 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.1 138
5 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.2 136
6 dnsmasq-2.40 133
7 9.2.4 84
8 Array_SmartDNS 78
9 9.4.3-P3 59
10 dnsmasq-2.45 56

 北京ではBINDやdnsmasqが多いことが特徴のようです。しかしそれより気になるのが、1位の[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーです。これは明らかにDNSサーバに独自のバナーを設定しているものですが、このようなちょっと語気の荒いバナーを1291台のサーバに設定している管理者(組織?)は、一体何者なのでしょうか?

北京のとある管理者

{ "_id" : "1.202.100.85", "country" : "CN", "ver" : "[Secured !!! Here no any useful information to you !!! ]", "fqdn" : "85.100.202.1.static.bjtelecom.net", "city" : "Beijing" }

 このバナーに関するFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を調べてみると、bjtelecom.netというドメインが浮かび上がってきました。Whoisで調べてみると、どうも「China Telecom」という組織が所有者であるようです。

 次に、bjtelecom.netがFQDNに入っているDNSサーバのバナーの集計を取ってみました。

リスト4 bjtelecom.netがFQDNに含まれるDNSサーバのバナーランキング
1 [Secured_!!!_Here_no_any_useful_information_to_you_!!!_] 1008
2 dnsmasq-2.40 73
3 Array_SmartDNS 51
4 9.4.3-P3 25
5 9.6.1-P3 22
6 None 22
7 9.6-ESV-R5-P1 21
8 9.2.1 15
9 dnsmasq-2.59 14
10 dnsmasq-2.55 13

 Secured...がダントツの1位です。China Telecomの中に、このバナーを一括設定している管理者がいるのでしょうか。

 上記のランキングから推測できることをまとめます。

  1. China Telecomの管理するネットワークは大規模であり、過去に攻撃にさらされた経験から、神経質なDNSバナーを設定している?
  2. 2位以下はソフトウェアのバージョンなので、China Telecomが直接管理するサーバではない? あるいは設定漏れ?
  3. 1008台以上のバナーが同じ設定なので、DNSサーバは仮想化され、設定済みのディスクイメージが複製されている可能性が高い?

 いずれにせよ、独自のバナー設定を1000台以上のサーバに施している管理者(チーム)の存在が気になります。

「China Telecom」を追え

 ここまでくると、1000台以上の[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]を設定した管理者が何者なのか、いやが上にも知りたくなってきます。このバナーの関係者は、China Telecom内の管理者か、あるいは設定管理を一括して請け負っている業者でしょうか。しかし、ちょっと待ってください。

 [Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーは中国全土では1200程度観測されましたが(リスト2参照)、bjtelecomのドメイン内では1000台程度しか観測されていません(リスト3参照)。残りの200台程度のDNSサーバで同じバナーが設定されているのは、一体どういうことなのでしょうか?

 そこで、bjtelecomドメイン以外で、このバナーを設定しているドメインを調べてみます。すると、例えば次のような情報が出てきました。

{u'country': u'CN', u'_id': u'125.74.70.34', u'ver': u'[Secured !!! Here no any useful information to you !!! ]', u'fqdn': u'34.70.125.74.dail.lz.gs.dynamic.163data.com.cn', u'city': u'Gansu'}    

 上は「甘粛」の「163data」というドメインのDNSサーバが例のバナーを設定していることを表しています。そしてその所有者は……、やはり「China Telecom」なのでした。例のバナーが設定されているサーバは北京のbjtelecom.net以外にも、複数の都市にまたがって設定されているようです。

リスト5 例のバナーが設定されている都市ランキング
1 北京Beijing 1291
2 甘粛Gansu 979
3 遼寧Liaoning 8
4 四川Sichuan 2
5 上海Shanghai 2
6 安徽Anhui 1
7 天津Tianjin 1

 全てを精査できていませんが、恐らく「China Telecom」管理下のDNSサーバなのではないでしょうか。というわけで、この情報から推測できるのは、

  1. China Telecomでは[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーを設定する独自ツール、専用の仮想マシン、通例などがある?

 といったところでしょうか。可能であれば次回以降、さらに掘り下げて調査を続けていきたいと思います。

 なお、最後におまけとして、筆者が調べた中国の攻撃元ドメインのプロバイダーとAS名のランキングを紹介します。

リスト6 中国の攻撃元ドメインのプロバイダーのランキング
1 中国電信 China_Telecom 220
2 中国联通 China_Unicom 103
3 江蘇 CHINANET_jiangsu_province_network 99
4 北京 China_Unicom_Beijing_Province_Network 89
5 広東 CHINANET_Guangdong_province_network 53
6 河北 CNC_Group_CHINA169_Hebei_Province_Network 40
7 中国科技网 CHINA_SCIENCE_AND_TECHNOLOGY_NETWORK 33
8 中国移動通信 China_Mobile_communications_corporation 31

 というわけで、今回は中国のDNSサーバ情報を掘り下げてみてきました。次回も引き続き中国を対象にする予定ですが、今回紹介した幾つかの推測の検証が進まない場合は、SNSや公開情報から得られる知見など、別のテーマを扱う可能性もあります。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。