トップ «前の日記(2019-12-02) 最新 次の日記(2019-12-11)» 編集

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2019-12-06 黒塗りのDNS -論文編-

論文「共用DNS権威サーバの脆弱性」を発表

12/4 に那覇市の沖縄県立博物館・美術館で行われた情報処理学会第87回コンピュータセキュリティ研究発表会 (CSEC87) で、論文「共用DNS権威サーバの脆弱性」を発表してきました。

これは 4/23 の ssmjp での「黒塗りのDNS (萎縮編) ~共用サービスの闇~」および 9/7 の DNS 温泉 6 の夜の部の「黒塗りの DNS (あからさま編)」で語らせて頂いた話を注意喚起のために論文にまとめたものです。

会場では以下のような質疑がありました。(要約)

  1. RFC を変えさせるよう動いてはどうか?
    私はやらない。JPRS などが動いてくれるとよいかと思う。
  2. DoT, DoH は関係ないですね?
    ない。ちなみに DNSSEC も攻撃可能。
  3. 脆弱性のある事業者には連絡したか?
    メールサーバの脆弱性を確認した事業者に対しては JPCERT/CC に報告した。(動いてくれているはず)
    Lame delegation の乗っ取りに脆弱な Route53 についても AWS は問題を認識している。(ゾーンを削除する際に警告がでる / 不十分だがさらなる対応もとられるだろうと認識している)
  4. 脆弱な事業者はどれくらいあるのか?
    たくさんあるだろうが調査しきれない。調べるには金がかかる。大多数が対応するまで利用者を危険に晒しながら注意喚起しないのは問題ではと思う。公的団体は責任ある開示という立場から及び腰であるが隠し通せる問題ではないし、利用者に注意喚起しつつ対策を促す必要があると思う。  

今回の発表で議論したかったのはまさにこの 3, 4 番めの話でした。対策や公的な注意喚起が遅々として進まない状況において微力ながらも注意喚起を行うとともに、隠せない問題や解決が進みそうもない問題にまで責任ある開示 (responsible disclosure) にこだわる方面への問題提起として、この論文を書き、発表を行わせて頂きました。もし議論が進むならうれしく思います。

なお同日、私のゼミの M1 の太田くんも "A survey on the status of measures against IP fragmentation attacks on DNS" (第一フラグメント便乗攻撃への対策状況の調査) を発表してくれました。近いうちに彼からも資料の公開があると思います。(CSEC非会員は有料ですがこちらではすでに公開されています)

私の発表スライドはこちら。論文はこちら (あるいは IPSJ のこちら)。

ところで沖縄はやはりとても良いところですね。飛行機嫌いを押して行ってきてよかったです。写真は発表会場、情報交換会会場のお姉さん、帰りに寄った屋台村。てびち、山羊、ぐるくん、沖縄そば、そして白百合 (泡盛) 等々たっぷり沖縄を堪能してきました。(しかし飛行機は嫌い/もう乗りたくない)

なお本記事は「DNS温泉 Advent Calendar 2019」への参加記事 (5日目)です。


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|

リンク

Copyright by T.Suzuki