先週の29日あたりからいくつかの ISP で DNS キャッシュサーバが機能不全となる障害が多発しています。十分な情報がないので確たることはわかりませんが、たぶん、大量に存在するオープンリゾルバ状態の家庭用のブロードバンドルータ (ルータというより NAT 箱ですが) が踏み台にされ、フォワード先の ISP のキャッシュサーバが悲鳴をあげているのでしょう。(リコールできないものでしょうかね)
困っている人は ISP に文句言う前に自分の機器が踏み台にされていないかを確認しましょう。(わからない人は ISP じゃなくメーカーに聞いてください)
ISP は緊急避難でとっとと IP53B (Inbound Port 53 Blocking: 家庭へ向う DNS 問合せの遮断) すればいいのに、と思っていたら 1社が遮断に踏み切ったようです。(アナウンス文)
いまだに障害が続いている ISP もあるようですが、中には Google Public DNS をお客様に紹介する酷い ISP がいるようで、twitter などでは 8.8.8.8 ユーザがどんどん増加しているように見えます。自律ができなかった結果として、安全を Google に求めるわけですね (本当に安全なのでしょうかね)。自由からの逃走ってやつでしょうか。今年は EPIC2014 の年。わずかながらの抵抗として、あらためて本サイトを 8.8.8.8 (8.8.4.4) ユーザから遮断させて頂きますのでご容赦くださいませ。(4月から毒入れへの警告のために措置を解除していました)
「DNS.JPゾーンの収容変更について」という文書が JPRS から出されました。
jp の NS は今まで通り [a-g].dns.jp ですが、dns.jp の NS を ns[abdefg].dns.jp として違うIPアドレス (サーバ) に分離するようですね。
「さらなる安定運用実現のため」と書いてありますが、これは明らかに親子ゾーン同居の脆弱性に対する措置でしょうね。いったいいつになったら「ちゃんと」説明してもらえるのでしょうか。自分が脆弱性を抱えたままでは説明できないということでしょうか。引き続き属性ドメイン名などが抱える脆弱性も対策するのでしょうか。それがすんだら他が脆弱性を抱えたままでも説明をしはじめるのでしょうか。どのみち悪い人たちは (2008年から) もう脆弱性を知っているのだから早くちゃんとした説明をして他組織にも対策を促して欲しいものです。
なお、私も追加説明 (先週 IEICE の研究会で発表したスライド) を近々公開する予定です。秘密にすることで得られるセキュリティは幻想に過ぎません。
さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。
内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。
しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります。
それ以前に今回の我々の指摘は2008年のMuellerの論文から演繹できる結論なのです。我々はその既知の攻撃手法の解説を3月から徐々にですが行ってきています。しかし我々が十分だと考えていたレベルの解説では理解できない人が多いようで、攻撃手法の詳細に踏み込んだ解説の公開が必要であると判断しました。
IEICEの研究会でも話が出ましたが、現状は攻撃者だけが問題に気づき、守りを固める必要がある側には知識が乏しい危険な状況といえるでしょう。発見者が隠蔽に協力してくれている事例と同一視して隠蔽を続けるのはまずいと思います。何人ものセキュリティ技術者もこの状況はまずいという見解を示しています。
JPRS や彼らに従うセキュリティ関係諸団体は JP の対策が一通りすんでから解説を行うのかもしれませんが、他の TLD の対策は待たないのでしょうか。社会で広く使われている数多のドメインの対策はどうでしょう。いつまで待ってもリスクを抱えたドメインは存在します。隠し続けることに意味はありません。彼らも躊躇せずできるだけ早く危険性の周知、解説を行って人々に注意喚起を促すべきでしょう。隠蔽で守れるセキュリティは幻想です。
これは DNSSEC で署名したサイトの移転について真剣に検討を進めなくてはいけないぞというアピールでしょうかね。
http://dnsviz.net/d/www.ietf.org/U61S-A/dnssec/
このあと "Please wait for PROPAGATION" とか言い出したら完璧です。
Copyright by T.Suzuki
■ nathan [なお、IP53Bで解決できない攻撃パターンもあります。 たとえばランダムドメインをfromに使ったspam着信がある..]