6月14日の記事『「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過小評価』に関して、6月29日にさくらインターネットから当社DNSに関するお知らせという記事が出ました。
このお知らせを評価するのは難しいですね。あまり丁寧に書いてしまうと危ない話なのですが、わかりやすく書かなくては「お知らせ」になりません。私はよくここまで書いたなと素直に思っていますが、それでもどういう脆弱性があったのか(あるのか)という点については曖昧な点や書かれていない話(まあ書くと危ないとは思いますが)もあります。
この話がなぜ深刻なのかはDNSの仕組みを理解していないと理解できないでしょうからここでくどくど説明しませんが、一言でいうと誰もがゾーンデータを登録できる共用DNSコンテンツサーバはとても危険だということです。そしてそのことに今回ようやく一部の人たちが気づきはじめたということです。ゾーンデータというのはよほど慎重に管理されていないと「誰もがゾーンデータを登録できる」サーバでなくとも、ドメイン名のハイジャック(VISA.CO.JP事件を憶えていますか)が生じてしまう可能性があるのです。それを共用のサーバにおいて生じないようにするのはとても難しいことだと私は思っています。
さくらの「お知らせ」ではとりあえずの対策が報告されていますが、同種の対策さえもやっていない危険な事業者は他にもいくつもあるでしょう。ゾーンデータの取扱いについて何の説明もない事業者は要注意です。「まさか」と書いた事業者は最低限の対策をした旨のメールを数日前(水曜)にくれましたが、要求した利用者への説明はいまだに出されていないようです。(彼ら自身が報告しなければ私からまた報告させてもらいます)
さくらの「お知らせ」には根本対策として所有確認を今後行っていく旨が書かれていますが、私は所有確認というより登録の正当性確認が必要だと考えています。それも登録時点だけでなく常にです。果たしてそこまでできる事業者があるでしょうか。さくらの現在の対策でも複雑で、下手すると引越し中のドメインなどに悪影響がでるかもしれませんし大変そうです。さくらの「お知らせ」をとっかかりの試金石としてDNS業界がどこまで健全化が図れるか、今後を見守りたいと思います。
そもそもDNSにおいて共用サーバで集中管理するようなサービスはやってはいけないサービスだったのかもしれません。
Copyright by T.Suzuki
利用者を人質にとった非道なサービスです。共用DNSを使ってはいけないという<br>キャンペーンが必要ですね。<br><br>「DNSを勉強して、DNSがだめなことを知ろう。」という非生産的なキャンペーンだが。
毎度のことながら、タイトルが分かりづらい。
「さくらインターネットのお知らせは◯◯だ畜生!」とでもすればよかったですかね w
それでも、中身の説明がないと、わからないひとがほとんどでしょう。
業界が腐っているというのは分かっているひとには分かっているが、<br>そうでないひとに伝えるのは難しい。<br><br>それをやっているのかと思っていたのですが、どうもただ「けなしているだけ」の<br>ように見えてきました。そこの違いを打ち出さないといけないでしょう。
お手本に期待しています。
とりあえずこちらでしょうか。https://moin.qmail.jp/DNS/%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%EF%BC%BF%E3%81%95%E3%81%8F%E3%82%89
あんなページがお手本とは筋が悪い。W
wwwww
下手すると「引越し中のドメインなどに悪影響」:<br> 下手するとなんでも影響をうける。下手しなくても、引越しは面倒です。<br><br>登録の正当性確認とはなにか。所有確認なしでやれるものですか。
もちろん所有者あるはその代理人であることの確認は含みます。ただ問題は第三者の悪意によって生じるものばかりではない、と言う点で正当性確認というものを考えていますが、このコメント欄で議論するつもりはありません。tm さんの wiki ででも :-)
議論できないものを思わせぶりに書くのは悪い癖だ。<br> tmさんのwikiというのは知らないな。
[第三者の悪意] を除外すると、残るものは<br> (1)「第三者の善意」か。これはないな。<br> (2) 設定者の無理解・悪意しかないじゃないか。<br>内容は議論しなくてもいいけど、日本語は分かりやすく書いて欲しい。<br> こんなコメントを繰り返すつもりはない。
(DNSにおいて<br>[共用サーバで集中管理するようなサービスはやってはいけない]<br><br>信用できないし、こけたときの被害も大きい。インターネットの目指すものではない。<br> サービスがあったとしても、使ってはいけないサービスです。
JPRS注意喚起(6/22)と合わせても、深刻さを感じるのは難しいようです。<br> さくらDNS利用者は徳丸の日記でびっくりしたでしょうけど、さくらのチョンボだと<br>受け取っている可能性が高い。ドメイン登録の問題だと分かる人は少ない。<br> DNSサーバの問題だということまで到達する人は皆無だと思う。
試金石により、すべて鉛だと判明した模様。
登録制限の穴らしきものが次々に見つかる。<br> 早く所有確認をやってくれないと、議論も出来ない。
「私は所有確認というより登録の正当性確認が必要だと考えています。それも登録時点だけでなく常にです」<br>知る限りJP以外では、これ(*常に*)はレジストラとドメイン登録者以外には無理です。JPについては指定時業者等もそれなりの準備(DBへの通知アドレスの登録)をしておけば一応出来ますが。
御意。補足感謝します。
無理を承知でやろうとしているのが、DNSサービス業者です。
「所有確認を今後行っていく旨が書かれています」とのことですが、放置されていますね。(2012-10-11現在)
DNS Summer Days 2012 http://dnsops.jp/event20120831.html において、確認が困難であることをさくらの田中社長が述べています。当分対策は進まないでしょう。<br>一方で、Marverick は新規申し込みを停止しました。こちらのほうが誠実でしょう。https://ssl.marverick.com/service/dns (止めれば安全というわけでもないですが)
確認が困難だから、危険なものを放置するというのは無責任ですね。<br>そういうサービスを使うのはやめましょう。<br><br>ついでにさくらを使うのをやめるのもいい。<br><br>Marverick は新規申し込みはさせないようですね。
最近もひとつ見つかりましたが、どうしますか。