中国のDNSサーバ稼働状況を探る――謎のバナー、そして北京の奇妙な管理者……:統計で見るサイバーセキュリティ群像劇(2)(2/2 ページ)
中国のDNSサーバ情報を調べていくと、ある奇妙なバナー情報に行き着いた……。
北京の奇妙なバナー
ここで、前回行ったように、北京のDNSサーバのバナー情報に注目します。下記は北京のDNSサーバに設定されているバナーの出現回数を多い順に並べたものです。
1 | [Secured_!!!_Here_no_any_useful_information_to_you_!!!_] | 1291 |
---|---|---|
2 | 9.8.1-P1 | 266 |
3 | I_do_not_know | 183 |
4 | 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.1 | 138 |
5 | 9.3.6-P1-RedHat-9.3.6-20.P1.el5_8.2 | 136 |
6 | dnsmasq-2.40 | 133 |
7 | 9.2.4 | 84 |
8 | Array_SmartDNS | 78 |
9 | 9.4.3-P3 | 59 |
10 | dnsmasq-2.45 | 56 |
北京ではBINDやdnsmasqが多いことが特徴のようです。しかしそれより気になるのが、1位の[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーです。これは明らかにDNSサーバに独自のバナーを設定しているものですが、このようなちょっと語気の荒いバナーを1291台のサーバに設定している管理者(組織?)は、一体何者なのでしょうか?
北京のとある管理者
{ "_id" : "1.202.100.85", "country" : "CN", "ver" : "[Secured !!! Here no any useful information to you !!! ]", "fqdn" : "85.100.202.1.static.bjtelecom.net", "city" : "Beijing" }
このバナーに関するFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)を調べてみると、bjtelecom.netというドメインが浮かび上がってきました。Whoisで調べてみると、どうも「China Telecom」という組織が所有者であるようです。
次に、bjtelecom.netがFQDNに入っているDNSサーバのバナーの集計を取ってみました。
1 | [Secured_!!!_Here_no_any_useful_information_to_you_!!!_] | 1008 |
---|---|---|
2 | dnsmasq-2.40 | 73 |
3 | Array_SmartDNS | 51 |
4 | 9.4.3-P3 | 25 |
5 | 9.6.1-P3 | 22 |
6 | None | 22 |
7 | 9.6-ESV-R5-P1 | 21 |
8 | 9.2.1 | 15 |
9 | dnsmasq-2.59 | 14 |
10 | dnsmasq-2.55 | 13 |
Secured...がダントツの1位です。China Telecomの中に、このバナーを一括設定している管理者がいるのでしょうか。
上記のランキングから推測できることをまとめます。
- China Telecomの管理するネットワークは大規模であり、過去に攻撃にさらされた経験から、神経質なDNSバナーを設定している?
- 2位以下はソフトウェアのバージョンなので、China Telecomが直接管理するサーバではない? あるいは設定漏れ?
- 1008台以上のバナーが同じ設定なので、DNSサーバは仮想化され、設定済みのディスクイメージが複製されている可能性が高い?
いずれにせよ、独自のバナー設定を1000台以上のサーバに施している管理者(チーム)の存在が気になります。
「China Telecom」を追え
ここまでくると、1000台以上の[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]を設定した管理者が何者なのか、いやが上にも知りたくなってきます。このバナーの関係者は、China Telecom内の管理者か、あるいは設定管理を一括して請け負っている業者でしょうか。しかし、ちょっと待ってください。
[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーは中国全土では1200程度観測されましたが(リスト2参照)、bjtelecomのドメイン内では1000台程度しか観測されていません(リスト3参照)。残りの200台程度のDNSサーバで同じバナーが設定されているのは、一体どういうことなのでしょうか?
そこで、bjtelecomドメイン以外で、このバナーを設定しているドメインを調べてみます。すると、例えば次のような情報が出てきました。
{u'country': u'CN', u'_id': u'125.74.70.34', u'ver': u'[Secured !!! Here no any useful information to you !!! ]', u'fqdn': u'34.70.125.74.dail.lz.gs.dynamic.163data.com.cn', u'city': u'Gansu'}
上は「甘粛」の「163data」というドメインのDNSサーバが例のバナーを設定していることを表しています。そしてその所有者は……、やはり「China Telecom」なのでした。例のバナーが設定されているサーバは北京のbjtelecom.net以外にも、複数の都市にまたがって設定されているようです。
1 | 北京Beijing | 1291 |
---|---|---|
2 | 甘粛Gansu | 979 |
3 | 遼寧Liaoning | 8 |
4 | 四川Sichuan | 2 |
5 | 上海Shanghai | 2 |
6 | 安徽Anhui | 1 |
7 | 天津Tianjin | 1 |
全てを精査できていませんが、恐らく「China Telecom」管理下のDNSサーバなのではないでしょうか。というわけで、この情報から推測できるのは、
- China Telecomでは[Secured_!!!_Here_no_any_useful_information_to_you_!!!_]というバナーを設定する独自ツール、専用の仮想マシン、通例などがある?
といったところでしょうか。可能であれば次回以降、さらに掘り下げて調査を続けていきたいと思います。
なお、最後におまけとして、筆者が調べた中国の攻撃元ドメインのプロバイダーとAS名のランキングを紹介します。
1 | 中国電信 | China_Telecom | 220 |
---|---|---|---|
2 | 中国联通 | China_Unicom | 103 |
3 | 江蘇 | CHINANET_jiangsu_province_network | 99 |
4 | 北京 | China_Unicom_Beijing_Province_Network | 89 |
5 | 広東 | CHINANET_Guangdong_province_network | 53 |
6 | 河北 | CNC_Group_CHINA169_Hebei_Province_Network | 40 |
7 | 中国科技网 | CHINA_SCIENCE_AND_TECHNOLOGY_NETWORK | 33 |
8 | 中国移動通信 | China_Mobile_communications_corporation | 31 |
というわけで、今回は中国のDNSサーバ情報を掘り下げてみてきました。次回も引き続き中国を対象にする予定ですが、今回紹介した幾つかの推測の検証が進まない場合は、SNSや公開情報から得られる知見など、別のテーマを扱う可能性もあります。
Copyright © ITmedia, Inc. All Rights Reserved.