トップ «前の日記(2013-04-12) 最新 次の日記(2013-05-03)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2013-04-30 共用DNSサービスもぐら叩き

- ドメイン@nifty他社ドメイン登録に関する重要なお知らせ

先日、ニフティ株式会社から以下のような手紙(pdf)が届きました。
                                2013年4月24日
                               ニフティ株式会社

    ドメイン@nifty他社ドメイン登録に関する重要なお知らせ
平素は@nifty (アット・ニフテイ)をご利用いただき誠にありがとうございます。
突然のご連絡となり誠に恐縮でございますが、現在お客様がご契約されておりますドメイン@ niftyにおきまして、サービス仕様の変更を行うこととなりました。この変更により、お客様の ご契約内容へ影響がございますため、以下詳細についてご確認いただきますようお願いいたし ます。
この度、ドメイン@nifty の他社ドメイン登録機能において、セキュリティ強化のため2013年4 月 3日にサブドメイン形式での登録を停止いたしました。すでご登録済みのサブドメイン形 式のドメインにつきましても、2013年7月31日をもって自動でお登録を解除いたします。
登録の解除が行われますと、サブドメイン形式のドメインでご利用いただいているドメイン関 連サービス(DNSホスティングやURL転送など)がご利用いただけなくなります。 なお、ドメインの管理はニフテイ以外の他事業者様で管理いただいておりますので、この登録 解除に伴う、ドメイン廃止はございません。
他社ドメイン登録機能につきましては、サブドメインなしでのご登録は引き続き受け付けてお りますので、サブドメインなしでのドメイン利用に切り替えていただくか、他事業者様で提供 されております同等サービスのご利用へ切り替えていただくなどのご対応をお願いいたします。
お客様には大変ご迷惑をおかけいたしますが、何卒ご理解賜りますようお願い申し上げます。

3月22日に私からニフティのカスタマーサービスにドメイン@niftyの脆弱性を指摘したところ、このような措置が取られることになったようです。

しかし、他社ドメイン登録は未だに可能なようです。ゾーンデータ作成、存在が、そのドメイン名の正当な利用者によるものであることを確認する手段を用意しない限り、依然として意図しない委譲によるハイジャックの可能性は存在し続けています。そのことについては指摘を理解頂けなかったのか、メールでの回答は貰えないまま上記の対策となったようです。

なお、同様の問題は他社の共用DNSサービスにも存在し続けていますが、業界として対策を図る動きは見られていません。(昨年の DNS Summer Days 2012 で取り上げられたきりとなっています)


    関連記事
  • 2012-07-04
    • 1. 権威/キャッシュDNSサーバーの兼用によるDNSポイズニングの危険性について
  • 2012-07-03
    • 1. 共用DNSサービスに関する緊急の注意喚起?
  • 2012-07-01
    • 1. さくらインターネットのお知らせが意味するもの
  • 2012-06-24
    • 1. まさかのレンタルDNSコンテンツサーバは実在する
  • 2012-06-14
    • 1. 「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過小評価
本日のツッコミ(全6件) [ツッコミを入れる]
_ tm (2013-05-01 00:04)

十分な理解なしの対応に見えます。 対応するだけましなのかもしれませんが。

_ tm (2013-05-01 00:11)

サブドメイン形式というのはなんですかね。

_ tss (2013-05-01 15:09)

TLD 直下のドメイン名以外はダメのようです。<br>サブドメイン自体が危ないという話はないのですけど、チェックしきれないということの現れでしょう。

_ tm (2013-05-01 18:08)

jpだと汎用jpしか使えないということでしょうか。それなら、それですっきりしている。:-)

_ tss (2013-05-01 22:35)

TLD から直接委譲された「ゾーン」でしょうね。

_ tm (2013-05-02 00:42)

「直接委譲された」という条件をどうやって確認するのかが問題になるので、<br>そういう言い方ではだめでしょう。

[]

最近の日記

リンク

Copyright by T.Suzuki