bind のゾーン転送の設定を変更した。JPRS から『権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認について』で注意喚起があり、具体的なチェックと設定方法について『設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】』で示されていた。ということで、dig コマンド

dig +norec @ns1.example.jp example.jp axfr

で確認したところ、がっつりとゾーン転送されたレコードが表示されてがっかり。以前、ゾーン転送していた allow-transfer 設定をコメントにしてヨシヨシと思っていたのだが、逆にこのままだと

もしallow-transferオプションの設定がされていない場合デフォルト設定値のanyが適用され、すべてのゾーン転送を許可する設定になってしまうことに特に注意が必要です。

とのことで、全てに許可するようになっていて、気づかずに運用していたことになる。ドキュメントにあるように転送拒否を設定した。

options {
        // allow-transferオプションの設定例
        // すべてのゾーン転送要求を拒否
        allow-transfer { none; };
};

その後、再び dig コマンドで確認したところ、しっかり

; Transfer failed.

と表示されたので一安心。