今、話題の、、、いや、もはや前野さんと私だけが問題にしている感のある DNS の毒入れについて、「脆弱性のある名前」(JPRSは未解説)の簡易検査ツールを作成し公開しました。
Pandora-poisoning Vulnerability Checker: http://snoopy.e-ontap.com/pandora/再帰検索の過程でNSキャッシュが入らなさそうな名前を抽出しています。
NSキャッシュが入らないということは委任インジェクションが容易である
ということを意味します。
(www.example.jp というような FQDN なホスト名もほとんどのケースで脆弱と判定します)
判定ページの簡単な説明
サンプルとして co.uk, co.jp, foo.bar.internot.jp などを入れてみると問題を理解できるかもしれません。大学によくあるパターンですが、www.gakubu.sample.ac.jp などサブドメイン名の委任元サーバが委任先のコンテンツミラー (セカンダリ) サーバを引き受けているケースが問題となりますので、サブドメイン名を検査してみることをおすすめします。
なお、脆弱判定されたから必ず毒が入りやすいとは限りません。それぞれのキャッシュサーバにおいてその名前がアクセスされる状況にもよります。リスクの判断には問題を良く理解する必要があります。
それにしても JPRS や JPCERT/CC、IPA などはいつになったら注意喚起と解説を出してくださるのでしょうね。
題記のニュースを見て、どんなサービスだろうと http://cloud.bioglobe.ne.jp/hosting/spec/#anc15 を見てみましたがあまりに記述が意味不明です。
いくつか質問してみたところ以下の回答が返ってきました。
共用 DNS サービスの脆弱性には不十分ながら(*)それなりの対策は考えられているようです。
それ以外の質問への回答は残念なものですね。「インターネット上の全てのDNSサーバへ反映される」とか。伝播、反映いうな。
Date: Mon, 25 Aug 2014 11:29:54 +0900 この度は「BIGLOBEクラウドホスティング」サービスをご検討いただきまして、 誠にありがとうございます。 BIGLOBE法人コンタクトセンター **と申します。 先日ご質問いただいた内容につきまして、以下インラインにて回答いたします。 > ここの説明が意味不明すぎます。 > http://cloud.biglobe.ne.jp/hosting/spec/#anc15 > いくつか質問させてください。 > 1.「既に設定されているレコードのTTL値を変更した場合、すぐに設定 > されたTTL値で反映されません。」とはどういうことですか? 掲載内容が分かりづらく、申し訳ございません。 コントロールパネルの設定画面で入力したTTL値は、クラウドホスティングで 提供しているDNSサーバでは(ほぼ)即時反映されます。 「すぐに設定されたTTL値で反映されません。」とは、お客様(エンドユーザ等) 自身が登録した内容を参照しようとした際、参照しているDNSサーバには 設定が反映されてないこと(つまりは伝播しきれない)を述べております。 > 2.「同じホスト名で同じIPアドレスを設定することはできません。」どういうことでしょう。 【同じホスト名】とはレコードタイプでA またはCNAME を選択した場合、同じ 名前で同じIPアドレスを設定できない(同じ組み合わせにできない)ことを 述べております。 > 3.「お申し込みされたDNS設定情報が世界中のDNSサーバへ伝播するには、 > 数時間〜1日程度かかります。」伝播とはどういう現象ですか? 1.でもご案内しておりますが、設定したレコード(ゾーン情報)がインター ネット上の全てのDNSサーバへ反映されることです。 > 4.以下の脆弱性があるのではないかと思いますが、どういう対策を > 行っていますか? > http://jprs.jp/tech/security/2012*06*22*shared*authoritative*dns*server.html ご提示いただいたURLの対策に記載のあります通り、 クラウドホスティングののDNSサーバに設定済のゾーンのサブドメイン及び上位 ドメインは作成できないように制限しております。 また、別のハイジャック対策として、クラウドホスティングのDNSサーバに登録 しようとしているドメインの委任(NS)が、既にこのDNSサーバを指して いる場合には、登録を不可としています。 ※前利用者がレジストリにクラウドホスティングのDNSサーバへの委任(NS)を 残存してしまっており、その後このDNSサーバに別利用者が同じ ドメインでのゾーンを作成した場合、不正利用されてしまうからです。 ※レジストリの委任(NS)情報は、クラウドホスティングDNSのご契約後 (ゾーン作成後)に変更していただく仕様としています。 委任情報を変更できる=正当な所有者である、という見方です。 > 5.なぜこのフォ*ムはURLまでいわゆる全角で入力しないといけないのですか? > 「お問い合わせ内容に環境に依存する文字「*******」が含まれています。」と > 出たのでハイフンを*に置換しました。 お手数をおかけし、誠に申し訳ございません。 本件、入力フォームの改善事項として認識しておりますので、今後改修等検討 させていただきます。 恐れ入りますが、ご了承くださいますようお願いいたします。 以上、何卒よろしくお願い申し上げます。 BIGLOBEクラウドホスティングに関するご不明点・ご相談などは、下記窓口まで お気軽にお問い合わせください。
* 例えば待ち伏せ対策になっていません。待ち伏せを防ぐには恒常的な所有確認が必要になります。
また登録時に所有確認がないということは実際の所有者に対する登録妨害が可能となります。
Copyright by T.Suzuki
Before...
■ tss [議論しづらい業界の雰囲気があるのでしょう。お互い痛いところがあるみたいな、、、]
■ tm [自分のところの問題点を隠すというのでは、まともな議論はできませんね。 業界全体で、客に対して不誠実だということにな..]
■ tm [9月も終わろうというのに、以前よりも情報がでてこなくなりましたね。 4月に想像したうちでも最悪のシナリオが現実になっ..]