VISAドメイン問題解説

Wed Jun 25 12:33 JST 2005 更新 @ EXPO

詳細(英語版)をアップしました。 こちらのサマリーもどうぞ。

あなたのドメインは大丈夫ですか?

自ドメインだけでなく、ネームサーバのドメインの管理状態を確認しましょう
NEWS: 消防庁も、、、
  1. VISA.CO.JPをはじめとする多くのドメインのDNSをE-ONTAP.COMが運用していた。(2000〜)

  2. E-ONTAP.COMがいつの頃からか機能停止

  3. ブラウザ等からの要求で各サイトのDNSクライアントが WWW.VISA.CO.JP等を検索すると、DNSの仕組上、まず JP, CO.JPを管理するサーバである
    a.dns.jp, b.dns.jp, d.dns.jp, e.dns.jp, f.dns.jp
    のいずれかが参照される。
    そこに、E-ONTAP.COMが運用停止後も
    ccdnsi01.singtel-expan.com
    escdns01.e-ontap.com
    が登録されていたため、この2つのいずれかが参照されるようになっていた。

  4. 運用を放棄されたescdns01.e-ontap.com にWWW.VISA.CO.JP等を問い合わせても当然返事はない。
    しかし、DNSクライアントは、再度 ccdnsi01.singtel-expan.com に問い合わせに行き、WWW.VISA.CO.JPのIPアドレス(Aレコード)を得ることができる。(このため事態が表面化しづらい)

  5. 2003年2月 qmail.jpの前野さんが VISA に警告のメール

  6. 2005年3月にVISA.CO.JPの管理者のメールアドレスに警鐘のメール(1,2)を送ったが、返事はなく対応もされなかった。この頃、セキュリティ関係のメーリングリストやJPNICのメーリングリスト(Domain-Talk)にも状況を報告し問題を訴えた。

  7. 5/18 23:40頃、E-ONTAP.COMのドメイン名そのものが消滅し、誰でも再度E-ONTAP.COMを取得できる状態になっていることに偶然気づく。

  8. 誰かがE-ONTAP.COMを取得し、DNSサーバを立ち上げると、1/2の確率(実装依存)で、新しく立ち上げられたescdns01.e-ontap.comにVISA.CO.JPに関する問い合わせがくることになる。(CO.JPを管理するサーバたちには依然、escdns01.e-ontap.com がccdnsi01.singtel-expan.comとともにVISA.CO.JPの権威あるDNSサーバとして登録されているため)
    新しいDNSサーバは偽のWWW.VISA.CO.JPのIPアドレス(Aレコード)を答えることもできるし、偽のメールサーバを立ち上げ、VISA.CO.JP宛のメールを受け取ることもできてしまうわけである。

  9. 危険を理解し悪用を憂慮してきた一市民としては、一刻を争うかもしれない状況を放置できず、3,990円をはたいてE-ONTAP.COMを自ら取得した。(5/19 00:02)

  10. 5/19日朝には*.dns.jpからは、escdns01.e-ontap.com が消えpricus.starhub.net.sgがかわりに登録された。
    このためDNSクライアントはまず、
    pricus.starhub.net.sg
    ccdnsi01.singtel-expan.com
    のいずれかが権威あるDNSサーバであることを学習し、いずれかに問い合わせを行う。(ここまでは改善)
    しかし、ccdnsi01.singtel-expan.com には依然として、
    ccdnsi01.singtel-expan.com
    escdns01.e-ontap.com
    が登録されており、WWW.VISA.CO.JP等をccdnsi01.singtel-expan.comに問い合わせた時点で、DNSクライアントは再度、VISA.CO.JPのDNSサーバがescdns01.e-ontap.comであると学習する。そして、再度WWW.VISA.CO.JP等を検索するときにはescdns01.e-ontap.comが1/2の確率(クライアントの実装依存)で参照されることとなる。
    この状態は、5/21 夕刻まで続いた。

  11. 5/19中には第三者(qmail.jpの前野年紀先生)からVISAインターナショナル広報、IPA、警視庁へ連絡をしていただいた。(参照)

  12. 事後の連絡を本人から行うのは危険(ゆすりと思われる可能性もあり*)と考え、多忙もあって躊躇していた。その後VISA.CO.JPについては何事もないうちに修正(5/21夕刻)されて客観的にみた危険性が去ったため、5/25にVISAインターナショナル広報にhttp://www.e-ontap.com/を見てほしい旨の電話連絡を行った。その後、残った海外のドメインも順次問題解消。
    * VISAは自分側の設定でe-ontap.comのVISA関連ドメインに関する権威を削除することができるわけであり、ゆすりははなから成立しない

  13. VISA.CO.JP以外にもVISAアジアのいくつかのドメインも同様の経緯をへて、すべてのVISA関連ドメインの設定が正しくなったのは、6/1夜〜6/2未明である。

  14. VISAインターナショナル広報は日経産業新聞の取材に対して「問題はなかったと認識」(5/30日経産業新聞一面)と回答
E-ONTAP.COMを利用していたVISA関連ドメイン 
visa.co.jp 
visa.com.au
visa.com.cn
visa.com.tw
mymoneyskills.co.kr
mymoneyskills.com.hk
visaplatinum.com.hk
ここを見てDNSを勉強しましょう。
世間のDNSに対する無理解と不勉強、そしてDNS管理のまずさと危険性を長年にわたり啓蒙し続けてきている前野年紀先生に敬意を表します。
see also : Is the Internet dying?
後日談:■続・ドメイン名のカルマ -某国証券取引所の古いドメインが風説の流布等に使える状態だった件について
記録/文責: E-ONTAP.COM 管理人 鈴木常彦 summary@e-ontap.com
Not only VISA. Nightmare will come.