JANOG 34 Meeting の "Security Issuesへの取り組みと対応—「ちゃんと」「きちんと」伝えるためにできること〜キャッシュポイズニングの手法を題材に〜" というセッションに参加してきました。「ちゃんと」「きちんと」説明してもらえることを期待していたわけではありませんが、それにしても言い訳に終始したとしか言えない残念すぎる発表でした。
どうせあの時間枠に技術的な解説が入りきるはずがありません。これまで説明を避けてきたことの弁明のためのセッションであるなら、事前に説明すべきことをすべてリリースした上であの場に臨むべきじゃないでしょうかね。
あのセッションをもって、JPRS として隠し立ては解禁だと伺いました。社内の意見対立にやっと調整がついたのでしょうかね。今後の対応に期待しますが、2月から数えて5ヶ月間、質問にも答えず隠し立てしてきた意味はあったのでしょうか。
ポートランダマイズしていない数%のサイトを救うことができたとのことですが、2008年以降 DNSSEC 推進以外には何もしてこなかったことのエクスキューズとして、ポートランダマイズしていないドメインには個別に連絡を行い、この 4ヶ月間 JPRS もがんばった上での発表です、という形に持ち込みたかっただけではないですかね。
この間、JPRS は親子同居という危険な状態にあった JP ゾーンと DNS.JP ゾーンの分離を行いましたが、その本当の理由は質問しても答えてもらえませんでした。JPRS はこれまで何もしてこなかった彼らの面子のために同様に危険な状態にある数多のドメインと一般のネットユーザたちを放置してきたわけです。
説明すると危険だと考えたという弁明が今回の JANOG での発表だったわけですが、何か状況が変わったようには見えません。この4-5ヶ月間でできることはやったという彼らのエクスキューズが用意できただけでしょう。今日からは説明してもいいというのはまるっきり理屈が通っていないと思います。例えば、UK や GOUV.FR は JP が行った対策はまだとっていません。国際問題になりませんか?
そもそも 2008年からはこの問題は知られていました。当時は、「説明するのは危険だ」などと言わず、嬉々として大々的に説明していたじゃありませんか。今回の行動と矛盾していませんか?
NS の委譲がターゲットになることの危険性については、世界一安全を自称し一流の専門家が集まった JPRS が知らなかったわけがないと思っています。壇上の M氏は「私は」知らなかったとおっしゃっていましたが、JPRS を代表する立場で「私は」は誤魔化しでしかないでしょう。彼らは彼らの怠慢を問題にされたくなかったから、のらりくらりしていたのだと思っています。担当者の多忙なんていうのも弁明にはなりません。彼らに課されたJPの健全性を守る責任よりもドメイン名を売るほうが忙しかったということです。JPNIC は JPRS とこの問題を放置でよいのでしょうかね。
「満を持して発表しないと警告に慣れてしまって効果がない」ともお聞きしましたが、彼らのやっていることはまるっきり逆でオオカミ少年状態になっています。むしろ注目されたくないように見えるくらいです。DNS がとても危険な状態であることを隠し、インターノットのインフラ幻想を守りたいのでしょう。
言いたいことはもっとありますが、長くなると読んでもらえないでしょうからこれくらいにしておきます。
あとは DNSOPS-JP の ML などで質問、議論させて頂きたいと思います。これまで無視されてきた質問から、まずお答えくださいね、JPRS さん。
Copyright by T.Suzuki
「ポートランダマイズしていない数%のサイトを救うことができた」というのはあやしい。<br>ポートランダマイズしても、確率を下げただけだ(その通り)と言っているはずだ。<br>根本の問題を隠してきた期間にどれだけの攻撃が行われてきたかは攻撃者にしかわからないだろうし、それで被害が出ていてもわからない。<br><br>いくら影響力があるとはいえ、一企業が隠蔽できると考えること自身がおかしいのではないか。
DNSSECを使っていないドメイン名は毒盛されても当然というのが、この業界の常識なのではないかと思えますね。(JPRSは表では言っていませんが。)<br><br>DNSSECを使えば安全かどうかは怪しい。そして、手間に見合うとも思えない。
発表に使われた(はずの)スライドが公表されています。<br>(いろいろ事実関係は違っていると思っています。)<br><br>説明すると言っていることの説明もまだだし。