トップ «前の日記(2012-03-09) 最新 次の日記(2012-06-18)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2012-06-14 他人と共用のDNS権威サーバは危険

- 「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過小評価

昨日さくらインターネットから「DNSサービスへのドメイン登録時における不具合について」という控えめなアナウンスがなされましたが、これだけの情報ではそれが意味するところの深刻性は多くの人には伝わらないでしょう。

そして今日、徳丸さんの日記に「さくらDNSにサブドメインハイジャックを許す脆弱性」という記事が出ました。以前より qmail.jp の前野さんが指摘(SHA1 fingerprint: 58:EF:65:BC:D1:0D:C8:DC:49:04:F4:B7:B3:43:AF:12:53:2C:B6:F2)を続けてきた問題です。

徳丸さんのまとめだけ見てもその危険性が深刻なことはわかるでしょうが、ハイジャックできたのはサブドメインだけではないはずですし(とりあえず詳細は控えますが問題の根はVISA.CO.JP事件にまで遡ります。あのときもっと突っ込んだ対応を業界がしていればよかった)、問題を抱えているサービスはさくらだけではないでしょう。さらに前野さんによれば、私も理解できていない深刻な問題が含まれている(いた?)ようですので、今後の前野さんの解説、警告に期待したいと思います。

この問題は単にさくらのサービスの不具合という話ではなく、業界、そして DNS そのものの根本に関わる大きな問題だと私は思っています。今後、さくらやJPRSがどう業界のなかで旗振りをしてこの問題に取り組んでくれるかを注視したいと思います。


p.s.
今日の日記のタイトルに「DNS権威サーバ」と書いてしまったが、権威のないものを答えるサーバを「権威サーバ」というのはおかしいな。やっぱり「コンテンツサーバ」と言うようにしたほうがいいと思う。ああ、それと、危ないのは共用のサーバだけじゃない。DNS はすべからく危険です。


追記:
6/22: JPRS ■サービス運用上の問題に起因するドメイン名ハイジャックの危険性について
6/30: さくらインターネット 当社DNSに関するお知らせ

本日のツッコミ(全30件) [ツッコミを入れる]
_ tss (2012-06-15 09:36)

6/8 に悪化した事に気づいていなかった件かも。6/8 に危険になったんじゃなくて、6/8に悪化したというのが私の現在の認識です。 > 「私も理解できていない深刻な問題」

_ tss (2012-06-15 09:40)

自力でDNS管理できない人が、今さくらから逃げ出すのは得策ではないでしょう。問題を理解して改善中のさくらよりも、逃げ出した先のほうが危ないんじゃないかな。DNSから逃げ出すのは得策かと思いますけれど。

_ tm (2012-06-16 08:10)

自称権威サーバならどうだ。:-) <br><br>理解はすこし進んだようですね。

_ tm (2012-06-16 16:56)

「猿でもできるサブドメインハイジャック」と書いてあげれば、危険性が理解できたかな。visa.co.jp の方が難しい。<br><br>さくらは自分たちのミスを隠すことで、評判が落ちるという認識はなさそう。<br>確かに、DNSを理解していないひとは判断つかないだろう。

_ tm (2012-06-17 19:54)

タイトルは脆弱性だということを明示していない分悪質な隠蔽だと思いました。<br>田中社長の発言とは対照的な(広報)公表の仕方で、体制を疑っています。

_ tm (2012-06-18 07:53)

wiki 新ページ:DNS/サービス_さくら/落とし穴<br><br> https://moin.qmail.jp/ の下です。

_ tm (2012-06-18 08:12)

NSDでも権威がない(委譲されていない)ゾーンを答えてしまうのですか。

_ tm (2012-06-18 19:50)

wiki 新ページ:DNS/サーバ/落とし穴<br><br>理解するのが大変かもしれない。なまじDNSのことを理解していると思っていると。

_ tm (2012-06-22 05:54)

「まさか」サーバが実在するようです。どこかは聞いても答えてもらえませんでした。

_ tm (2012-06-22 09:52)

ネタにのせられただけか。真相は分かりません。<br> 担がれるようになったら有名税だと思うことにします。

_ tss (2012-06-22 10:41)

誰でも自由にゾーンデータを登録できて、しかもキャッシュサーバ兼用だなんていう恐怖のサーバが実在するのでしょうか。まさか、と思いましたが、本当に存在しそうでもあります。インターノットの恐ろしさは底知れません。

_ tm (2012-06-22 10:52)

底なしなら、どんどん投げ捨てれば済むので、原発廃棄物処理も悩まなくていい。<br><br>地球は有限。

_ tm (2012-06-22 18:20)

JPRS 注意喚起

_ tm (2012-06-23 13:13)

アットマークの記事:参考のために<br><br>http://www.atmarkit.co.jp/news/201206/22/subdomain.html

_ tm (2012-06-23 13:43)

「まさか」サーバの実在証明はしていただけませんでした。<br>  自分が便利に使って(悪用して)いて、潰されたくないので、<br>  公表しないという、私には理解のできない世界でした。<br>こういうひとがいれば、あるかも知れないと思っていますが、近くのひとが哀れだし、問題のDNSに登録しているドメインとそこにアクセスするひとの危険性が心配です。

_ tm (2012-06-23 13:45)

DNSの崩壊は私の想像以上に進んでいます。さくらなどの業者もその一因です。

_ tss (2012-06-24 00:45)

「まさか」が実在しました orz

_ tm (2012-06-24 10:37)

いやー、悪いことは起きるものですね。ありがとうございました。<br> お手数をかけました。(なんだか、私が捕まった悪者みたいだ。)

_ tm (2012-06-25 09:42)

誤解でした。まだ、底は見えていませんが。

_ tm (2012-06-26 14:09)

VDの脆弱性は話題になりませんね。なぜか。<br><br>「まさか」に時間をとられたのがミスかも。

_ tm (2012-06-26 20:43)

JPRSは問題を矮小化しようとしているように見えます。<br>疑ぐり深い性格なもので、簡単には信用しない。

_ tss (2012-06-26 21:36)

むしろ問題はどこまでも広がりそうなんですけれどね。

_ tm (2012-06-26 23:30)

どこまでも広がることはない。有限世界だから。<br><br>そろそろ限界が見えてきたのではないか。<br>私の持っているネタはすべて晒したつもりだから。<br><br>あとはそちらの番です。

_ tm (2012-06-27 19:07)

ネタは晒したが、その意味するところを理解するひとは少ない。<br><br>どこまで解説していいかは微妙だ。

_ tm (2012-06-29 22:35)

さくらからDNSについてのお知らせがでています。<br><br>問題点のいくつかに気づいたという段階です。<br>所有確認を考えてはいるが、まだ実施できていないので、<br>JPRS流対策を施している。時間稼ぎ中です。

_ tss (2012-06-30 17:02)

さくらのお知らせは業界の試金石となりそうですね。

_ tm (2012-06-30 17:39)

化猫退治の道具にしましょう。

_ tm (2012-07-02 14:11)

さくらと同様の脆弱性を抱えていた業者(Dozens, Value-Domain)の存在は明らかになっています。それ以外はどうなのか、私は調べていません。<br>muumuu-domain はドメインハイジャックできなかったという報告がひとりからありました。<br><br>でも、登録できるドメインについて説明がある業者は見つけていません。

_ tm (2012-07-04 19:25)

過小評価の意味を理解した人はどれくらいいるか。<br><br>「過小評価」はもっと大きな脆弱性がいろいろある(あった)ことが<br>「DNSについてのお知らせ」に書いてありますが、分かり辛い。<br><br>ここでは解説しない。:-)

_ tm (2013-05-01 14:14)

一年になるが、さくらはまともな対応ができない。それを指導しないレジストリも問題を分かっていないのかもしれない。共用DNSはAWSを除きすべて危ないと考える。

[]

最近の日記

リンク

Copyright by T.Suzuki