BIND9: DNSにDoSにつながる脆弱性 2026/01/28

2026/01/25、突然、ファイヤーウォールログに、サーバーで運用しているローカル向けDNSに対して外部から大量のクエリーパケットが到着していることに気づきました。数分でログファイルがローテートしていた。

室内のPC用にDNSを運用していて、外部からのQueryを拒否してはいないのですが、こんなことして何になるの?と不思議に思っていました。

25-Jan-2026 11:40:06.765 security: client @0x858771c00 103.194.106.76#54482 (wyrx05s9ndpso.xyz): query (cache) 'wyrx05s9ndpso.xyz/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.765 security: client @0x858773800 103.194.106.8#17868 (pkmvk1p0v.org): query (cache) 'pkmvk1p0v.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.765 security: client @0x847fa0400 103.194.106.26#26740 (lq4k46cn.com): query (cache) 'lq4k46cn.com/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.765 security: client @0x83d647000 103.194.106.82#27974 (jft2zhgs75nfn8w.xyz): query (cache) 'jft2zhgs75nfn8w.xyz/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.773 security: client @0x85b904000 103.194.106.61#45153 (i8fdumz2mq6j2.net): query (cache) 'i8fdumz2mq6j2.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.776 security: client @0x85b905c00 103.194.106.130#49285 (xmyyfb8qksfm0oqy.io): query (cache) 'xmyyfb8qksfm0oqy.io/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.779 security: client @0x85b907800 103.194.106.32#31219 (pbpmfow5fvi.net): query (cache) 'pbpmfow5fvi.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.780 security: client @0x8339aa800 103.194.106.195#46418 (u0irtp2xkkr3mtu1.org): query (cache) 'u0irtp2xkkr3mtu1.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.790 security: client @0x85b909400 103.194.106.26#35833 (jzgjvi55jlokerg.org): query (cache) 'jzgjvi55jlokerg.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.803 security: client @0x85b90b000 103.194.106.207#31723 (dx4uozuanz.net): query (cache) 'dx4uozuanz.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.807 security: client @0x858775400 103.194.106.22#55448 (1x4zhwtfua6p.xyz): query (cache) '1x4zhwtfua6p.xyz/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.818 security: client @0x83d622000 103.194.106.240#23258 (lfxkqogpsjjhy.org): query (cache) 'lfxkqogpsjjhy.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.821 security: client @0x85b90cc00 103.194.106.148#15423 (wx238gwd0rh8.org): query (cache) 'wx238gwd0rh8.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.848 security: client @0x85b90e800 103.194.106.117#42189 (q3we78tyku.net): query (cache) 'q3we78tyku.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.854 security: client @0x855c75000 103.194.106.165#26821 (61hyi00akd.com): query (cache) '61hyi00akd.com/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.858 security: client @0x855c76c00 103.194.106.67#46105 (69yjvmwsjsjx.io): query (cache) '69yjvmwsjsjx.io/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.861 security: client @0x83d623c00 103.194.106.84#42676 (g6qvhl5l2ib4s.net): query (cache) 'g6qvhl5l2ib4s.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.863 security: client @0x83d625800 103.194.106.241#59008 (b5gwt4qrp88.org): query (cache) 'b5gwt4qrp88.org/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.895 security: client @0x83d627400 103.194.106.93#30800 (96yhnx85tvwsbn1.net): query (cache) '96yhnx85tvwsbn1.net/A/IN' denied (allow-query-cache did not match)
25-Jan-2026 11:40:06.896 security: client @0x83d638000 103.194.106.39#44332 (weusgonn1d64bqn.com): query (cache) 'weusgonn1d64bqn.com/A/IN' denied (allow-query-cache did not match)

そして、01/28、JPCERTからのセキュリティー関連情報が到着。

            <<< JPCERT/CC WEEKLY REPORT 2026-01-28 >>>

――――――――――――――――――――――――――――――――――――――
■01/18(日)~01/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のASUSTeK COMPUTER製ルーターにコマンドインジェクションの脆弱性
【2】複数のブラザー製インストーラにDLL読み込みに関する脆弱性
【3】PRIMERGYが搭載する「iRMC S5/S6」に不適切な権限設定の脆弱性
【4】ISC BIND 9にサービス運用妨害(DoS)につながる脆弱性
【5】Redisに信頼できないデータのデシリアライゼーションの脆弱性
【6】複数のCisco製品に脆弱性
【7】GitLabに複数の脆弱性

概要
ISC BIND 9には、サービス運用妨害(DoS)につながる脆弱性があります。
この問題は、当該製品を修正済みのバージョンに更新することで解決します。
詳細は、開発者が提供する情報を参照してください。

これだったのか~。

1/25に、ファイヤーウォールで発信者のIPをネットごとブロックしたので、それ以降はBINDのログファイルが巨大化する現象は止まっていましたけど、BIND9パッケージを更新して、対処完了。

余談ですが、携帯SIMを使って、個人サーバーを動かしていたら、こういう攻撃パケットや迷惑アクセスにも自分が料金を払わなくちゃいけないのよね。腹立たしいわ。

Updated: 2026/02/02 at 18:08
タグ:

コメントを残す