共用 DNS サービスの脆弱性について以下の届け出を IPA に対して行いましたが、残念ながら受理されませんでしたので、ここに情報を公開し共用DNSサービスの利用者に警告を促させて頂く次第です。指摘した事業者以外にも危険なサービスはいくつも存在しています。事業者の自主的な改善も望めませんので、共用 DNS サービスを利用する上では十分注意を払って利用してください。
(以下、大変危険なので届け出た実際のサービスのドメイン名は伏せ字とさせて頂きます)
====================================================================== 2013年 9月 30日 1. 届出者情報 1) 届出者情報 住所(都道府県):愛知県 所属:中京大学 氏名*:鈴木常彦 電子メールアドレス*:********** TEL:***-***-**** FAX: ・届出者情報については、* があるものは必須項目です。 ・電子メールアドレスがない場合、TEL、FAX のどちらかで必ず連絡が取 れる情報を記入してください。 2) 届出者情報の取り扱いについて ■ 届出者情報をウェブサイト運営者に知らせても良い □ 届出者情報をウェブサイト運営者には知らせず、すべてのやりとりを IPA とのみ行う 2. 脆弱性関連情報 1) 脆弱性を確認したウェブサイトのURL ************** このサイトが行っているセカンダリ DNS サービス 2) 脆弱性の種類 ・サービス運用上の問題に起因するドメイン名ハイジャック http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html に示されたサブドメインハイジャックの亜流攻撃である、 lame delegation のハイジャック (危険なため文書には記されてないが JPRS はこの問題を認識しているはずです) セカンダリ DNS サービスに lame delegation が向いている場合に そのドメイン名をハイジャックすることが可能である。 3) 脆弱性の発見に至った経緯 セカンダリDNSサービスの脆弱性に関する研究による調査の過程で、実際にサービスを 利用して発見。 4) 脆弱性であると判断した理由 whisky.nom という存在しないドメイン名が登録できたことで、 ドメイン名の所有確認が行われていないことは明白である。 % dig @ns1.************ ns whisky.nom ; <<>> DiG 9.8.3-P4 <<>> @ns1.*********** ns whisky.nom ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 37058 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;whisky.nom. IN NS ;; ANSWER SECTION: whisky.nom. 3600 IN NS ns2.***********. whisky.nom. 3600 IN NS ns1.m**********. ;; ADDITIONAL SECTION: ns1.***********. 7200 IN A ***.***.***.*** ns2.***********. 7200 IN A ***.***.***.*** ;; Query time: 454 msec ;; SERVER: *************** ;; WHEN: Mon Sep 30 18:12:24 2013 ;; MSG SIZE rcvd: 111 5) 脆弱性により発生しうる脅威 (1) lame delegation のハイジャック シナリオ例 過去に ns[12].************ を NS に利用していたドメイン example.jp が、利用をやめた後も .JP の Name Server 情報に ns[12].*********** に残し、自分たちの権威サーバでは、 example.jp IN NS ns1.example.ne.jp example.jp IN NS ns2.example.ne.jp としているものの .JP の権威サーバが、 example.jp IN NS ns1.********** example.jp IN NS ns2.********** example.jp IN NS ns1.example.ne.jp example.jp IN NS ns2.example.ne.jp などとなっていた場合(*)、この ns[12].********** のゾーン データを勝手に第三者が作成し、ハイジャックを行うことができる。 (* 一般的にこのような lame delegation の例は多く観察されている) (2) 新規利用者のサービス利用に対するDoS あらかじめ第三者がゾーンを登録しておくことにより、本当のドメイン名 保有者の利用を妨げる。 6) ウェブサイトの連絡窓口 ****@************* 7) その他 http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html に示されるサブドメイン名のハイジャックは対策がなされている。 (既登録のドメイン名やそのサブドメイン名は登録できない) 3. IPA 以外の組織への届出について □ あり ■ なし 届出年月日: 届出番号: 届出先、窓口担当者: 窓口メールアドレス: 窓口電話番号: 4. 今後の連絡について 1) IPA からの連絡における暗号化 ■ 希望する □ 希望しない 5. その他 同様の脆弱性は他のサービスにも少なからず存在しています。
IPA からの回答は以下のとおり
Date: Wed, 9 Oct 2013 10:34:49 +0900 Subject: 【IPA#24776458】 届出についてのご相談 ----------------------------------------------------------------- このメールは、取扱い番号 IPA#24776458 に関する連絡です。 ----------------------------------------------------------------- IPAセキュリティセンターです。 本件の取扱いにつきまして、ご相談させていただきたい点があります。 届出内容を確認したところ、下記の通り、届出のウェブサイト(サービス) 側の脆弱性ではなく、本サービスの利用者側の問題であるとの判断に至っ た為、本件の取扱いを終了させて頂こうと考えておりますが、如何でしょ うか。 なお、本サービス等の利用者の DNS サーバが脆弱な lame delegation 状態であることを発見された場合、その個別の利用者ごとに取扱い可能 です。 この取扱いに異論がある場合は、お手数ですが 10 営業日までを目処に ご連絡頂きたくお願い致します。 【判断理由】 ----------------------------------------------------------------- 本届出で問題とされている点は、下記 2 点であると認識しております。 (1) 過去に利用していた利用者がレジストラの設定を適切に実施しな い場合 lame delegation となる。 利用者側の登録不備に起因した脆弱性といえますが、届出のウェブ サイト運営者の責任とは言えないと考えます。 (2) ドメインの所有者であることを確認せずに登録ができる。 本問題を悪用して当該サイトへの直接の攻撃や、当該サイトの利用 者が利用している PC 等に対して攻撃できる問題ではない為、告示 及びガイドラインが定義する脆弱性ではないと考えます。 以上により、届出のウェブサイトのサービスの問題ではなく、本サービ スの利用者の問題であり、届出頂いたウェブサイトのサービスに関して は、末尾の告示およびガイドラインが定義する脆弱性には該当しないと 判断しました。 ----------------------------------------------------------------- 以下に告示、および、ガイドラインの該当箇所を抜粋致します。 ------------------------------------------------------------------ □ソフトウエア等脆弱性関連情報取扱基準(平成16年経済産業省告示第235号) http://www.meti.go.jp/policy/netsecurity/downloadfiles/vulhandlingG.pdf II.用語の定義 本基準で用いられる用語の定義は、以下のとおりとする。 1.脆弱性 ソフトウエア等において、コンピュータウイルス、コンピュータ不 正アクセス等の攻撃によりその機能や性能を損なう原因となり得る 安全性上の問題箇所。ウェブアプリケーションにあっては、ウェブ サイト運営者がアクセス制御機能により保護すべき情報等に誰もが アクセスできるような、安全性が欠如している状態を含む。 VI.対象がウェブアプリケーションである場合の脆弱性関連情報取扱基準 2. 受付機関基準 (2)受付機関は、届出を受理したときは、速やかに、当該ウェブサイト 運営者に対し当該脆弱性関連情報を通知すること。ただし、当該脆 弱性関連情報が以下に該当する場合、当該届出に係る処理を取りや めることができる。この場合においては、当該発見者にその旨及び その理由を通知すること。 (3)受付機関が脆弱性関連情報に該当しないと確認した場合 □情報セキュリティ早期警戒パートナーシップガイドライン http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf II.用語の定義と前提 本ガイドラインに用いられる用語の定義は以下の通りです。 1.脆弱性の定義 脆弱性とは、ソフトウエア製品やウェブアプリケーション等におい て、コンピュータ不正アクセスやコンピュータウイルス等の攻撃に より、その機能や性能を損なう原因となり得るセキュリティ上の問 題箇所です。なお、ウェブアプリケーションにおいて、ウェブサイ ト運営者の不適切な運用によって、個人情報等が適切なアクセス制 御の下に管理されておらずセキュリティが維持できなくなっている 状態も含みます。 (ウェブサイトの不適切な運用に関しては付録4に示します。) V.ウェブアプリケーションに係る脆弱性関連情報取扱 3.IPA の対応 4) 脆弱性関連情報への対応続行の判断 IPA は、以下の条件のいずれかと合致した場合、処理を取りやめる とともに発見者に連絡します。 (ア) IPA が脆弱性関連情報でないと確認した場合 ------------------------------------------------------------------ 以上、よろしくお願いいたします。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵 による暗号化を推奨しています。 https://www.ipa.go.jp/security/pgp/index.html −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 独立行政法人情報処理推進機構 (IPA) 技術本部 セキュリティセンター Mail ************** Web https://www.ipa.go.jp/security/ PGP 6879 27AD 1274 DEC9 AA22 2618 B7A1 FDCD 0B28 564B −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
残念な返答だったので、当方が本当に終了を了解してしまって問題ないと考えるのかの念を押したところ、以下の回答を頂いたのでもう IPA には頼れないと判断した次第です。
----------------------------------------------------------------- このメールは、取扱い番号 IPA#24776458 に関する連絡です。 ----------------------------------------------------------------- IPAセキュリティセンターです。 ご返信下さりありがとうございます。 > 問題を十分理解した上で、本気でおっしゃっていますか? > 他人のゾーンデータを堂々と偽造できる状態のサービスが公開されているのですが。 IPA としても、頂いた届出を適切に取扱いたいと考えております。 下記に、届出頂いたの問題に対する IPA の認識、および、その取扱い方 針について記載させて頂きます。 もし、IPA の認識に誤り等がございましたら、ご面倒をおかけして大変 恐縮ですが、その内容についてご教示頂きたくお願い致します。 【IPA の認識について】 --------------------------------------------------------------- 以下は、現在までに、発見者様より報告頂いた情報をもとにした IPA の認識となります。 本件は、正規のドメインの所有者が、上位のレジストラや本サービス に対して正しい登録をしていれば、仮に第三者が既存のドメインを当 該サービスへ登録できたとしても、ドメインの乗っ取りは発生しない という認識しております。 --------------------------------------------------------------- 【取扱い方針について】 --------------------------------------------------------------- 上記の認識のもと、「正しい登録をしていない」状況下で発生しうる ドメインの乗っ取りは、あくまでも個別のドメイン毎に取扱っており ます。 これは、いただいた問題の根本的な原因においては、本サービスのよ うな権威 DNS サーバの運用者ではなく、ドメインの所有者側にあると 考えているためです。 そのため、発見者様が、本サービスにおいて問題が発生しうるドメイ ンをご存知でしたら、そのドメイン毎に届出して頂ければ、取扱いた いと考えております。 --------------------------------------------------------------- 以上、お手数をおかけ致しますが、何卒よろしくお願い致します。 −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 脆弱性関連情報に関する連絡を行う際に、IPA では PGP 公開鍵 による暗号化を推奨しています。 https://www.ipa.go.jp/security/pgp/index.html −−−−−−−−−−−−−−−−−−−−−−−−−−−−−− 独立行政法人 情報処理推進機構 (IPA) 技術本部 セキュリティセンター Mail *************** Web https://www.ipa.go.jp/security/ PGP 6879 27AD 1274 DEC9 AA22 2618 B7A1 FDCD 0B28 564B −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
IPA さんには以下の返事をしておきました。
了解いたしました。 どんな危険なサービスも利用者の自己責任というのも一つの見識かと思います。 終了で結構です。
Copyright by T.Suzuki
利用者には分からない状態で「正しい登録をしていない」状況を作りだせるのが問題だったのですが、そのことは上のやりとりには現れていないようなので、この件は一段落させていいですね。<br><br>別件として報告するかどうか。
IPA はそれはないと認識していると断言していますが、そこをこの届け出でこれ以上深追いするつもりはありません。
ひとつ疑問なのは、ガイドラインを紋切り型に適用するのが IPA のポリシーであるなら、なぜオープンリゾルバの届け出を受理したりするのでしょうね。
個別に対応すると言っているようだから、乗っ取りの可能性のあるドメインを100も送ってあげれば、深刻さを理解すると思うけど。(別々に。)
とりあえず即刻ハイジャックできるドメイン名を 4つ見つけました。
6つ
16
21
さくらの方がずっと影響が大きいですね。
はい。あと Nifty も危険です。
Nifty は責任逃れの対応をしているようですね。 IPA推奨かな。