トップ «前の日記(2022-03-14) 最新 次の日記(2022-03-22)» 編集

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2022-03-15 ドメインの乗っ取りを避けるために

lame delegation の危険性を知りましょう

ドメイン運用の危険性を知るにはまず DNS の仕組み、特に委任(委譲)について理解する必要があります。

特に重要なのは「DNS の設定」とか「ネームサーバの設定」とか呼ばれているものが二種類あることの理解です。これが意外と区別されておらずトラブルの元になっているように見えます。用語が統一されていないことも混乱の元なので利用するサービスにおける用語の区別を知る必要があります。(さらにパソコンにも別の意味の「ネームサーバの設定」なるものがありますがそれは置いておきます)

ドメインの運用開始に必要な「DNS の設定」の一つは DNS 権威サーバ (ネームサーバとも呼ばれる) でゾーンを稼働させることです。このゾーンがドメイン名と結びついた情報を応答してくれることになります。多くのレジストラは無料でそのためのサーバ/サービスを提供していますが、それらが危険な運用を生み出す元となっています。

DNS 権威サーバを設定したら世界からの問い合わせをそこへ誘導する必要があります。それに必要なのが「委任(委譲)」なのですがこれも「ネームサーバの設定」と呼ばれており混乱しないようにする必要があります。ルートサーバが jp ゾーンを運用するサーバ (以降 jp サーバ) へ委任を行い、jp サーバから example.jp ゾーンを運用するサーバ (例えば ns1.example.jp) へ委任が行われます。ドメイン名を検索するフルサービスリゾルバ (DNS キャッシュサーバ) はこの委任情報を頼りにあなたの設定したゾーンへたどりつくわけです(私のスライドを参照)。jp ゾーンを運用するのもネームサーバ、example.jp ゾーンを運用するのもネームサーバなのが紛らわしいので注意してください。

さて問題なのはこの二種類のネームサーバの設定順序です。ゾーンが稼働していないネームサーバが他人と共用のサーバだった場合、そこへ委任を向けてしまうと非常に危険な状況が発生します。ドメイン名に権利のない他人が勝手にその名前のゾーンを作れてしまうサービスが多く存在するからです。ところがサービスのメニューの上で「DNS の設定」「ネームサーバの設定」が何を指しているのかわかりづらく、あるいは適切に区別されておらず、知らず知らずのうちに危ない設定をしてしまっているケースが後をたちません。

基本としてゾーンが稼働していないネームサーバに委任を向けてはいけません! あるいは委任が向いているネームサーバからゾーンを消してはいけません! 悪意ある第三者にドメインが乗っ取られる可能性があります!

委任のことを英語で delegation、委任先が機能していない状態を lame delegation と呼びます。lame は任期切れ直前の役に立たない大統領を指す言葉レイムダック (lame duck) の lame ですね。lame delegation は乗っ取りの危険性があると覚えておいてください。

もっと詳しく書こうと思っていましたが長いと読まれないのでまずはこれくらいにして、ケーススタディなど後日また続きを書きたいと思います。

参考:

本日のツッコミ(全1件) [ツッコミを入れる]
tm (2022-04-01 16:02)

JPRS化しないように、早めに続きをお願いします。


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|
2021|02|03|09|12|
2022|02|03|

リンク

Copyright by T.Suzuki