2024年4月9日にNHKプラスのログインURLにDNSトンネルが張られているのを検知したので下記にレポートします。
これはCloudflare社の[Cloudflare Rader]がこのドメインアクセスにDNSトンネルを検知したもので、これが本当かどうかは判りません。
あくまでも事実データとして理解して下さい。
メモ
2024年7月に再確認した結果、このDNSトンネル問題は解決していました。
NHK側が気が付いて手を打ったのか?、私が[Cloudflare Rader]で解除申請した結果、解除されたのかは判りません。
もし後者の場合は[Cloudflare Rader]の誤検知が原因だった可能性があります。
3.Cloudflare Raderがサイトをどの様に評価しているか?を調べる
1.発生状況
NHKプラスの画面[https://plus.nhk.jp/watch/ch/g1/]を開きます。
下図の右上の[ログイン]ボタンを挿入します。
下図のブロック画面が表示され、ブロックドメイン名は[agree.auth.nhkid.jp]でした。
2.IPアドレスやプロバイダ情報を調べる
NHK+のURL[https://plus.nhk.jp/watch/ch/g1/]を[IPアドレス検索]と[DNS情報取得]でチェックすると下記の事が判ります。
このURLは[AKAMAI]のCDNをCNAME形式でを利用している。
よって使われているIPアドレスは[AKAMAI]のIPアドレスになります。
次にブロックされたドメイン[agree.auth.nhkid.jp]を[IPアドレス検索]と[DNS情報取得]でチェックすると下記の事が判ります。
このドメインはビックブローブの回線を使っており、IPアドレス[202.247.104.131]のサーバにアクセスしている。
よって[AKAMAI]のCDNから、ビックブローブのIPアドレス[202.247.104.131]にアクセスする時にDNSトンネルが張られている危険性がある事がわかりました。
3.Cloudflare Raderがサイトをどの様に評価しているか?を調べる
ログインボタンを押した結果、[agree.auth.nhkid.jp]ドメインがブロックされた事は判りましたが、アクセスしたURLは判りません。
そこで[Gatewayでブロックされるサイトのアクセス許可]で[nhkid.jp]を登録しててアクセスするとURLは[https://login.auth.nhkid.jp/]である事が判りました。
そこでこのURLでCloudflare Raderの情報を検索しました。
調べ方は[Cloudflare Raderのサイト評価]を参照して下さい。
結果は下図で下記の事が判りました。
・[login.auth.nhkid.jp]自体は安全なサイトである。
・しかし[DNS Tunneling]が設定されている。
・カテゴリは[nhkid.jp]から継承している。
そこで上図の[フィードバックを送信]をクリックすると下記が判ります。
・下図の様に[login.auth.nhkid.jp]には[DNS Tunneling]はない。
上図のカテゴリの継承元の[nhkid.jp]をクリックすると下記が判ります。
・[nhkid.jp]に[DNS Tunneling]が設定されている。
メモ
そこで[nhkid.jp]の[セキュリティカテゴリの変更をリクエストする]で[DNS Tunneling]の解除申請を試みました。
しかしこれはあくまでもリクエストで、解除できるか否かは判りません。。
———-
後日調べると[DNS Tunneling]は消えていたので、上記が効いたのかもわかりません。