自己紹介

• こういう人らしい
  
  

DNS 図解

序章 (2018年4月)

中京大学が浜木綿を買収? (笑)

m.chukyo-u.ac.jp IN A 61.122.232.37

A レコード (IP アドレス) を残したままレンタルサーバを解約した結果 ... これは笑い話で終ったのだが、、、

危険な忘れ物 Dangling Records (宙ぶらりんのレコード)

• 借りたサーバに DNS リソースレコードを向けたまま解約してはいけない

  中京大学の例は dangling A record (事故もあり得るという例)

• サブドメインテイクオーバー (Subdomain Takeover)
  

  放棄された CNAME レコードの先 (本名) は狙って再登録されうる

  • fan.football.sony.net. IN CNAME fanfootballsony.s3-us-west-2.amazonaws.com.
  • notifications.buildmypinnedsite.com (Microsoft)
• 参考: The Principles of a Subdomain Takeover
  https://blog.sweepatic.com/subdomain-takeover-principles/

もっと危険な忘れ物 Lame Delegation (役立たずの委任)

lame delegation := ゾーンの委任が適切に行われていない状態 (委任先のサーバが正当な応答を返さない)

＜主な原因＞

• 委任先サーバが存在/動作していない (委任情報が間違っている)
• 委任先サーバにゾーンが適切に設定されていない (若くは廃止された) ... dangling NS records
• 委任先サーバ間でゾーン情報が同期していない (ゾーン転送障害)
• 委任先サーバがキャッシュサーバ (一見応答しているように見えるが、、、)
• 委任先のゾーンに委任と異なる NS レコードがあって適切に動作していない (lame delegation と同等)

＜例＞

example.jp. IN NS dns.example.net.

example.jp. の管理は dns.example.net. に任されている。

• この dns.example.net に example.jp ゾーンがなく、誰でもゾーンを作れる状態だと、、、
• この example.net というドメイン名自体が存在しないと、、、

VISA.CO.JP 事件 (2005.5.18 深夜)

E-ONTAP.COM が消えた! (NXDOMAIN)

% dnsq ns e-ontap.com a.gtld-servers.com
102 bytes, 1+0+1+0 records, response, authoritative, nxdomain

% whois e-ontap.com
No match for "E-ONTAP.COM"

% date ; dnsq ns visa.co.jp a.dns.jp
Thu May 19 04:35:38 JST 2005
2 visa.co.jp: 99 bytes, 1+0+2+0 records, response, noerror
query: 2 visa.co.jp
authority: visa.co.jp 86400 NS ccdnsi01.singtel-expan.com
authority: visa.co.jp 86400 NS escdns01.e-ontap.com 

% dnsq ns visa.co.jp escdns01.e-ontap.com
input/output error

夜道で迷子を見つけたら保護しますよね!
(誘拐ではない)

E-ONTAP.COM

E-ONTAP.COM

E-ONTAP.COM

E-ONTAP.COM が管理していたドメイン

• visa.co.jp
• visa.com.au
• visa.com.cn
• visa.com.tw
• mymoneyskills.co.kr
• mymoneyskills.com.hk
• visaplatinum.com.hk
• simex.com.sg (シンガポール国際金融取引所)

この事件の詳しい経緯は e-ontap.com へどうぞ

同様に危険な状態のドメインはいくらでも見つかる!

■■■■■■■■.or.jp
■■■.ed.jp
■■■■■■■.jp
■■■■■■■■.gr.jp
■■■■■■■.or.jp
■■■■■■■■.co.jp
■■■■■.jp
■■■■■.or.jp
■■■■■.ne.jp
■■■■■.co.jp
■■■■■■■■.co.jp
■■■■■■■■■■■.co.jp
■■■■■■■■■■■■■■.co.jp
■■■■■■■■■■■■.co.jp
■■■■■■■■■■.jp
■■■■■■■■■■■■.ac.jp
■■■■.jp
■■■■.jp
■■■■.or.jp
■■■■■■■■■■.co.jp
■■■■■■■.■■■■.■■■■■■■.jp
■■■■.co.jp
■■■■■■■■■.co.jp
■■■■■■.co.jp
■■■■■■■■.co.jp
■■■■■■■■■■■.co.jp
■■■■■■■■■■■.co.jp
■■■■■■■■.gr.jp
■■■■■■■■■■■■■■■■■■.or.jp
■■■■.ne.jp
■■■■■■.or.jp
■■■■■■.jp
■■■■.co.jp
■■■.ac.jp
■■■■■■.co.jp

総務省の Dangling CNAME を発見
(2024/12/21 土曜)

特別定額給付金サイトだった kyufukin.soumu.go.jp の CNAME (別名に対する本名) が宙ぶらりんだった。

% dig kyufukin.soumu.go.jp

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 15370

;; ANSWER SECTION:
kyufukin.soumu.go.jp.	600 IN CNAME kyufukin.sakura.ne.jp.

;; AUTHORITY SECTION:
sakura.ne.jp.		3600 IN	SOA dns.sakura.ad.jp. noc.sakura.ad.jp. (
        2024121200 ; serial
				3600       ; refresh (1 hour)
				600        ; retry (10 minutes)
				3600000    ; expire (5 weeks 6 days 16 hours)
				3600       ; minimum (1 hour)
				)

;; WHEN: Sat Dec 21 01:03:31 JST 2024

総務省の Dangling CNAME を保護
(2024/12/21 土曜)

夜道で迷子を見つけたら保護しますよね! (誘拐ではない)

さくらインターネットのコントロールパネル

kyufukin.sakura.ne.jp という名前でレンタルサーバを借り kyufukin.soumu.go.jp という別名を設定
(これを権利確認なくできてしまうのがサービス仕様の欠陥)

無料のサーバ証明書の取得もボタン一発

厚生労働省の Dangling CNAME を保護
(2024/12/23 月曜)

若者向け就職等に関する電話・メール相談事業（おしごとアドバイザー）のドメイン名 oshigoto.mhlw.go.jp の CNAME である ivoryturtle3.sakura.ne.jp を確保し保護

oshigoto.mhlw.go.jp. IN CNAME ivoryturtle3.sakura.ne.jp.

対応の催促として保護猫のコンテンツを置いた。

経済産業省の Lame Delegation を発見
(2024/12/28 土曜)

スマート保安デジタルカタログで使用されていた SISOAITC.GO.JP が lame delegation で SERVFAIL になっているのを発見

% dig @1.1.1.1 ns sisoaitc.go.jp

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 55968
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; EDE: 22 (No Reachable Authority): (at delegation sisoaitc.go.jp.)
; EDE: 23 (Network Error): (202.226.36.170:53 rcode=REFUSED for SISOAITC.GO.JP NS)
;; QUESTION SECTION:
;SISOAITC.GO.JP.		IN NS

;; Query time: 74 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Sat Dec 28 10:05:14 JST 2024
;; MSG SIZE  rcvd: 137

% dig sisoaitc.go.jp @a.dns.jp 

;; AUTHORITY SECTION:
SISOAITC.GO.JP.         86400 IN NS ns1.xserver.JP.
SISOAITC.GO.JP.         86400 IN NS ns2.xserver.JP.
SISOAITC.GO.JP.         86400 IN NS ns3.xserver.JP.

経済産業省の Lame Delegation を保護
(2024/12/28 土曜)

XServer のレンタルサーバを借り、ドメイン名を sisoaitc.go.jp として設定し保護

近畿経済産業局の Lame Delegation を発見し保護
(2024/12/28 土曜)

symposium.go.jp. (「未来の地域金融に向けたシンポジウム」:近畿経済産業局) の NS dns[01].heteml.jp. が lame だった。heteml (GMOペパボ株式会社) のレンタルサーバに同ドメイン名を設定して保護

経済産業省の Lame Delegation を発見し保護
(2024/12/29 日曜)

saiene-survey2023-meti.go.jp. (経済産業省) の NS ns[12345].xserver.jp. が lame になっているのを発見し、XServer (エックスサーバー株式会社) のレンタルサーバを借りて同じドメイン名を設定して保護

同日 saisei-yamaguchi.go.jp. (中国経済産業局) も保護

関東経済産業局の Lame Delegation を発見し保護
(2025/1/4 土曜)

med-takumi.go.jp (関東経済産業局「MEDICAL TAKUMI（匠）JAPAN」プロジェクト) の NS ns[12].dns.ne.jp が lame になっているのを発見し、さくらインターネットのネームサーバサービスに同名のゾーンを作成して保護 (ウェブサーバは研究室のサーバを利用)

文部科学省の Lame Delegation を発見し保護
(2025/1/12 日曜)

bousai.mext.go.jp (文部科学省) の AWS Route 53 に向いた NS が lame になっているのを発見し、同サーバに同ゾーンを作成して保護 (ウェブサーバは研究室のサーバを利用)

国土交通省の Lame Delegation を発見し保護
(2025/1/12 日曜)

tochi30.mlit.go.jp (国土交通省) の NS ns[12].dns.ne.jp (さくらインターネット) が lame になっているのを発見し同サーバに同ゾーンを作成して保護 (ウェブサーバは研究室のサーバを利用)

国土交通省の Lame Delegation を発見し保護
(2025/1/12 日曜)

国土交通省の設計･施工･維持管理イノベーションサイト（住宅･建築生産性向上促進事業）productivity-innovation.mlit.go.jp の NS ns[12].dns.ne.jp (さくらインターネット) が lame になっているのを発見し同サーバに同ゾーンを作成して保護 (ウェブサーバは研究室のサーバを利用)

その他

• 国立教育政策研究所 (nier.go.jp) の "OECD生徒の学習到達度調査 (PISA2022)" 関連の pisa2022.nier.go.jp が Dangling CNAME で、その先の pisa.nier.go.jp が lame delegation で乗っ取り可能なことを文科省 CSIRT へ通報 (12/25)
  

  pisa2022.nier.go.jp. 300 IN CNAME geolocation.pisa.nier.go.jp.
  pisa.nier.go.jp. 300 IN NS ns-808.awsdns-37.net.
  pisa.nier.go.jp. 300 IN NS ns-1664.awsdns-16.co.uk.
  pisa.nier.go.jp. 300 IN NS ns-79.awsdns-09.com.
  pisa.nier.go.jp. 300 IN NS ns-1332.awsdns-38.org.

• lms.cyder.nict.go.jp. 86400 IN CNAME lms.cyder.nict.go.jp.cdn.cloudflare.net を情報通信研究機構 (NICT) へ通報 (12/27)
• tokyo-stamp.metro.tokyo.lg.jp と dx-project.metro.tokyo.lg.jp も保護 (1/4)
• thoracic-kyoto-u.gr.jp の NS の 4/8 が lame delegation で乗っ取り可能なことを文科省 CSIRT へ通報 (1/14)
• その他多数の dangling records を発見し通報
• 2024年10-11月 *.daitoshi.mlit.go.jp (国土交通省) で多数のカジノサイトが運営されていたらしい (私ではない)
  

時系列

• 12/21 01:11 kyufukin.soumu.go.jp. (総務省) を保護 (CNAME) ... (3日後 12/24 解消)
• 12/23 08:44 oshigoto.mhlw.go.jp. (厚生労働省) を保護 (CNAME) ... (3日後 12/26 解消)
• 12/25 11:50 pisa2022.nier.go.jp, pisa.nier.go.jp (文部科学省) を通報 (CNAME, NS) ... (14日後 1/8 解消)
• 12/27 16:21 lms.cyder.nict.go.jp. (情報通信研究機構) を通報 (CNAME) ... (18日後 1/14 解消)
• 12/28 10:07 sisoaitc.go.jp. (経済産業省) を保護 (NS) ... (35日後 2/1 解消)
• 12/28 12:37 symposium.go.jp. (近畿経済産業局) を保護 (NS) ... (4日後 1/1 解消)
• 12/29 08:57 saiene-survey2023-meti.go.jp. (経済産業省) を保護 (NS) ... (18日後 1/16 解消)
• 12/29 12:40 saisei-yamaguchi.go.jp. (中国経済産業局) を保護 (NS) ... (34日後 2/1 解消)
• 01/04 19:21 dx-project.metro.tokyo.lg.jp (東京都) を保護 (NS) ...(5日後 1/9 解消)
• 01/04 20:41 tokyo-stamp.metro.tokyo.lg.jp (東京都) を保護 (NS) ...(5日後 1/9 解消)
• 01/04 21:15 med-takumi.go.jp (関東経済産業局) を保護 (NS) ... (12日後 1/16 解消)
• 01/12 03:00 bousai.mext.go.jp (文部科学省) を保護 (NS) ... (2日後 1/14 解消)
• 01/12 15:08 tochi30.mlit.go.jp (国土交通省) を保護 (NS) ... (2日後 1/14 解消)
• 01/12 16:21 productivity-innovation.mlit.go.jp (国土交通省) を保護 (NS) ... (2日後 1/14 解消)
• 01/14 16:57 thoracic-kyoto-u.gr.jp (京都大学呼吸器外科) を文科省へ通報 (NS) ... (10日後 1/24 解消)

Dangling CNAME record 4 件、Dangling NS records (lame delegation) 12 件

報道

• NHK報道1「“中央省庁の一部サイト 不正利用のおそれ” 指摘受け修正」 (録画付)
• NHK報道2「省庁ウェブサイトのドメイン管理不十分 5省庁に 厚労省なども」
• NHK報道3「国交省 過去に使ったドメイン オンラインカジノ広告に一時流用」
• 省庁のドメイン管理不備でガイドライン見直し検討 デジタル相
• 村上総務相 "一部サイトにセキュリティ上の不備" 再発防止へ (録画付)
• 日経「省庁のウェブサイト、閉鎖後に不正利用　カジノへ誘導も」

村上総務大臣閣議後記者会見の概要 (令和7年1月14日)

質疑応答
総務省の使用済みドメインの対策

問：
　総務省の使用済みドメインが、第三者に不正利用され得る状態にあったという報道がありました。総務省として、いつ覚知し、対策はいつ完了したのか。また、こういう状況に陥ったことについての大臣の受け止めをお願いいたします。

答：
　 令和2年に総務省が運用していた、特別定額給付金に関する特設サイトについて、サイトの閉鎖後、そのドメイン、ご承知のように、ドメインとはインターネット上の住所ですが、不正利用され得る状態となっておりました。
　 このことについて、昨年12月23日に外部からの情報提供により覚知しまして、翌日24日にはシステム上の対応を行い、対策を完了しました。
　 なお、当該サイトが実際に不正利用されていたとの事実は把握しておりません。
　 総務省では、自治体等に対し、ドメイン管理の注意喚起を行ってきた中で、このような事案が生じたことは誠に遺憾であります。
　 今回の事案も踏まえ、サイトのドメイン管理を徹底して、再発防止に努めてまいりたいと考えております。

https://www.soumu.go.jp/menu_news/kaiken/01koho01_02001408.html より

平デジタル大臣記者会見要旨 (令和7年1月14日)

2. 質疑応答

（問）使用後の政府ドメイン「go.jp」が対策の不備で第三者によって利用可能な状態になっていたという報道があったが、デジタル庁として把握していること、大臣の受け止めをお願いします。また、政府のドメイン管理について、現状のルールと考え得る再発防止策をお願いします。

（答）本事象は、「go. jp」ドメインを有する政府関係機関のウェブサイト閉鎖時に必要な対策がとられておらず、第三者が不正利用できる状態になっていたものであります。不適切な状況であると認識しています。このため、1月10日（金）にデジタル庁とNISC（内閣サイバーセキュリティセンター）の連名で、全府省庁に対して、必要な対策がとられているかの速やかな状況確認と対策の実施を要請いたしました。政府ドメインの管理については、デジタル庁所管のWebサイト等の整備及び廃止に係るドメイン管理ガイドラインにおいて、ドメイン廃止にあたっては各府省庁が必要な対策を講じるように定めているところです。このガイドラインは、2015年に発出し、2018年に改定してそのように定めてあります。再発防止の観点から、ガイドラインに具体的な対策を明記すべく、改定の検討を進めていきたいと思います。要は、「go. jp」で運用している際に民間のサーバーを使う。そうすると民間のサーバーと紐付けがされているんです。その紐付けを切ってなかったことが今回の原因であります。これをきちんと確認し、紐付けを切れば、解決することですので、しっかり各省庁と連携し、また、ガイドラインの改定も含めて、サービスが終わった時にはそのままにせずに、確認して紐付けを切ることがソリューションになって、この手のものは再発防止が実現できると思っております。

（問）この事象において、各省庁、現時点で悪用された事例はありますでしょうか。

（答）悪用した事例は、私の方では把握していません。悪用される可能性がある環境に置かれていたということを、報告を受けているところであります。

（問）引き続き、デジタル庁が音頭をとって対策を取っていくのでしょうか。

（答）基本的に各省の持っているドメインは各省でしっかりと管理していただくことになります。一方で、デジタル庁は何をするかというと、ガイドラインをアップデートしたり、あとはきちんとやっているかを定期的に確認するということだと思います。さらに、悪いことをやる人たちは、いろいろな知恵が働くものですから、いろいろな可能性についてどれだけイマジネーションを働かせて事前に防御していくかという考え方も必要だと思いますので、そういったところはデジタル庁やNISC、また担当大臣として、いろいろ部局と議論していきたいと思っています。

（以上）

https://www.digital.go.jp/speech/minister-250114-01 より

今回良く見られた誤解

誤解

• 「GO.JP を使わないからいけない」 (条件反射)
  否 : 今回は GO.JP が悪用可能だった
• 「ドメイン名は利用後も維持しないと危ない」
  否 : 今回は利用後のドメイン名あるいはレコードを抹消しなかったのが問題

何を誤解しているのか?

以下の理解が不十分

• パブリックサフィックス (JP とか CO.JP 等) から直接委任されるサブドメインは登録抹消後は誰でも ^*1 再登録 (ドロップキャッチ) できる ☞ この場合は「ドメイン名は利用後も維持しないと危ない」という認識で良い
• しかし、GO.JP は政府 (or それに準ずる) 機関しか登録できない (抹消しても政府関係以外の第三者には再登録されない)
• また、パブリックでないドメイン名 (SOUMU.GO.JP 等) のサブドメインはドメイン外の第三者に再登録されることはない ^*2
• だが、誰もが利用できるリソース (外部のドメイン名や IP アドレス) に向いたレコードを放置したままリソースを解放すると第三者に再取得されてなりすまされうる ... 使用済のレコードは抹消しないとダメ

Dangling Records の症例と攻撃/保護

Dangling CNAME Records

• CNAME の先 がレンタルサーバのドメイン名 ... 当該のレンタルサーバを同名で借りて攻撃/保護
• CNAME の先 のドメイン名が未登録 ... ドメイン名を再登録して攻撃/保護

Dangling NS Records (lame delegation)

• NS の全てが lame (ドメイン名は機能していない) ... 委任先に同名ゾーンを作成して攻撃/保護
• NS の一部が lame (ドメイン名は機能している) ... 注意! 保護のつもりで下手なゾーンを作ると DoS になる可能性がある

保護の形態

以下の lame delegation だったとする

example.jp. IN NS ns.example.ne.jp.	

＜無難な保護＞ 権威サーバに親子同居制約がかかっている場合など

protection.www.example.jp. IN NS ns.example.ne.jp.	

これにより example.jp も www.example.jp も保護できる (兄弟は仕様次第)
外部からは protection の存在はまずわからない (ステルス)

＜完全な保護＞ サブドメインも含めまるごと保護

example.jp. IN NS ns.example.ne.jp.	

サービスによってはネームサーバはウェブのおまけ ☞ 猫を置くのもやむなし

DoS にならない限り抵触するサイバー関係法はなさそうだが民事上の訴訟リスクはあるので真似しない方が良い
(私の活動は研究とインターネット崩壊論の補強が目的)

NS の一部が lame delegation であった場合

JP からの委任

example.gr.jp. 86400 IN NS ns-6.awsdns-00.com. (www ゾーンのみ)
example.gr.jp. 86400 IN NS ns-537.awsdns-03.net. (www ゾーンのみ)
example.gr.jp. 86400 IN NS ns-1031.awsdns-00.org. (www ゾーンのみ)
example.gr.jp. 86400 IN NS ns-2005.awsdns-58.co.uk. (www ゾーンのみ)
example.gr.jp. 86400 IN NS ns-75.awsdns-09.com. (ゾーンなし)
example.gr.jp. 86400 IN NS ns-567.awsdns-06.net. (ゾーンなし)
example.gr.jp. 86400 IN NS ns-1501.awsdns-59.org. (ゾーンなし)
example.gr.jp. 86400 IN NS ns-1556.awsdns-02.co.uk. (ゾーンなし)

上 4 つは www.example.gr.jp には応答があるが example.gr.jp に関しては REFUSED
下 4 つは www も含め example.gr.jp に関して全て REFUSED

上 4 つの委任先には委任されたドメイン名ではなくサブドメインのゾーンだけが設置されていた

www.example.gr.jp. 172800 IN NS ns-6.awsdns-00.com.
www.example.gr.jp. 172800 IN NS ns-537.awsdns-03.net.
www.example.gr.jp. 172800 IN NS ns-1031.awsdns-00.org.
www.example.gr.jp. 172800 IN NS ns-2005.awsdns-58.co.uk.

NS の一部が lame delegation であった場合 (続き)

• この 4 つの権威サーバは乗っ取れるか?
  (委任されたゾーンがなくサブドメインのゾーンだけ存在 / なぜかこういう例は多い / どこかに手本がある?)

  www.example.gr.jp. 172800 IN NS ns-6.awsdns-00.com.
  www.example.gr.jp. 172800 IN NS ns-537.awsdns-03.net.
  www.example.gr.jp. 172800 IN NS ns-1031.awsdns-00.org.
  www.example.gr.jp. 172800 IN NS ns-2005.awsdns-58.co.uk.
  

• example.gr.jp ゾーンは作成できない
  ☞ 理由: AWS Route 53 には親子同居の制限がある
• だが www 以外の example.gr.jp のサブドメイン (www2, mail等) は乗っ取れる
  ☞ 理由: AWS Route 53 には兄弟同居の制限はない
• つまり www 以外のドメイン名を保護はできない

NS の一部が lame delegation であった例 (続き)

• この 4 つの委任先はどうか?

  example.gr.jp. 86400 IN NS ns-75.awsdns-09.com.
  example.gr.jp. 86400 IN NS ns-567.awsdns-06.net.
  example.gr.jp. 86400 IN NS ns-1501.awsdns-59.org.
  example.gr.jp. 86400 IN NS ns-1556.awsdns-02.co.uk. 

• 乗っ取れる
  ☞ 1/2 の確率で偽応答となる (他の 4 サーバは正規のゾーンが応答する)
  ☞ Authority Section でこの 4 つがキャッシュに入れば 2 回目以降は 100% 偽に誘導される
• 保護のつもりでも正規のものと同じゾーンデータを置かないと DoS になりうる
  ☞ NXDOMAIN や NODATA の応答がネガティブキャッシュになる
• 無難に保護するためには protection.www.example.gr.jp. ゾーンを作成する (した)
  ☞ example.gr.jp と www.example.gr.jp は親子同居制限により保護できる (兄弟の保護は無理)
• 過去に同名のゾーンが存在した場合は履歴によって制限がかかる (この例は過去から空だった?)

AWS Route 53 において任意のサーバにゾーンを作成する方法

• 以下のコマンドまたは API でゾーンが作成できる
  

  aws route53 create-hosted-zone --name $1  --caller-reference $2

• com, net, org, co.uk 4 つの TLD に各 512 のサーバ名 (計2,048) がありランダム(?)に 4 つ割り当てられる。
• サーバ名を直接指定するオプションはないが以下のオプションがある

  --delegation-set-id

• ここまでは AWS Route 53 の文書に書いてある話 / これ以上の説明は自粛
• デモは省略、画面のみ掲載 (コマンドの中身は推察してください)
  

今回どういうリスクがあったのか?

省庁、自治体、重要インフラ企業等は共用のレンタルサーバは使わない方が良いと思いますね、、、

• メールサーバを立ち上げられて
  • メールを窃盗・盗聴されてしまう (共用のレンタルサーバを使っている時点で危ない^*)
  • 悪意のあるメール配布が行われてしまう (共用のレンタルサーバを使っている時点で危ない^*)
  • ドメイン名の移管が行われてしまう (GO.JP ではない場合)
  • 二時的に SNS 等のメール認証が突破されてアカウントの乗っ取りが行われてしまう
  等々の被害にあう可能性がある
• 信用ある GO.JP ドメインを用いて偽装ウェブサイトを作成される
• サーバ証明書も入手されてしまう
• 上記によるPhishing詐欺、マルウェア配布、デマ・風説の流布が行われる
• Cookieが窃盗され、それによる個人情報漏洩やなりすまし等がおきる
• 政府を名乗ったサイバー攻撃が行われる
• ドメイン名でアクセス制限されたサーバへ侵入されてしまう (IPアドレスの逆引き検査にも合格)
  
• 使用していないドメインだと発覚しづらい (実際、通報しても理解してもらえないケースあり)

幻想の崩壊

• HTTPS であること (鍵マークなど) を確認しましょう?
  ☞ HTTPS の DV (Domain Validation) 証明書は DNS と WWW に管理権限があることを証明しているだけ
• ドメイン名を確認しましょう?
  ☞ GO.JP でも信用できない
• 信用できる情報は site:go.jp や site:ac.jp で検索しましょう?
  ☞ 猫ならまだしもカジノや風俗店も出現
• 自前のサーバは安全を維持できないのでサービスを借りましょう?
  ☞ 共用のレンタルサーバは危ない (論文あり)

省庁において露呈したこと

• DNS に対する認識、能力不足
• 乗っ取りに対する即応体制なし (猫だから? マルウェア配布や詐欺サイトでも?)
• 電子証明書の revoke (無効化) 能力なし (文科省を除く)
  kyufukin.soumu.go.jp 総務省 ❌
  www.sisoaitc.go.jp 経済産業省 ❌
  tochi30.mlit.go.jp 国土交通省 ❌ (2025-04-19 まで有効)
  bousai.mext.go.jp 文科省 ⭕️️
  
• ガイドラインの不備 (策定能力ある?)
  
  • Web サイト等の整備及び廃止に係るドメイン管理ガイドライン (2018年3月30日 各府省情報化統括責任者(CIO) 連絡会議決定)
      ☞ lame delegation については 2005 年に総務省も注意喚起^*しているが不備
  • デジタル庁の技術検討会議は 2024年8月16日の第20回が最後 ...   以降、改訂案? はまるで不十分な内容のまま放置状態?

その後 (1)

資源エネルギー庁 旧 燃料油価格激変緩和補助金公式サイト nenryo-gekihenkanwa.jp の AWS Route 53 への lame delegation を不完全ながら保護 (3/3 〜 未対応)

JP からの委任 ( * が lame delegation)

nenryo-gekihenkanwa.jp.	86400 IN NS ns-72.awsdns-09.com.
nenryo-gekihenkanwa.jp.	86400 IN NS ns-694.awsdns-22.net.
nenryo-gekihenkanwa.jp.	86400 IN NS ns-1386.awsdns-45.org.
nenryo-gekihenkanwa.jp.	86400 IN NS ns-1597.awsdns-07.co.uk.
nenryo-gekihenkanwa.jp.	86400 IN NS ns-372.awsdns-46.com. (*)
nenryo-gekihenkanwa.jp.	86400 IN NS ns-1002.awsdns-61.net. (*)
nenryo-gekihenkanwa.jp.	86400 IN NS ns-1096.awsdns-09.org. (*)
nenryo-gekihenkanwa.jp.	86400 IN NS ns-1917.awsdns-47.co.uk. (*) 

上 4 つの権威サーバ

nenryo-gekihenkanwa.jp.    900 IN SOA ns-694.awsdns-22.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400
nenryo-gekihenkanwa.jp. 172800 IN NS ns-1386.awsdns-45.org.
nenryo-gekihenkanwa.jp. 172800 IN NS ns-1597.awsdns-07.co.uk.
nenryo-gekihenkanwa.jp. 172800 IN NS ns-694.awsdns-22.net.
nenryo-gekihenkanwa.jp. 172800 IN NS ns-72.awsdns-09.com.
nenryo-gekihenkanwa.jp.     60 IN A 54.199.88.63
nenryo-gekihenkanwa.jp.     60 IN A 54.168.183.106

その後 (1の続き)

下 4 つの権威サーバ (lame delegation を私が保護)

www.nenryo-gekihenkanwa.jp.   900 IN SOA ns-1002.awsdns-61.net. tss.e-ontap.com. 1 7200 900 1209600 900
www.nenryo-gekihenkanwa.jp. 86400 IN NS ns-1002.awsdns-61.net.
www.nenryo-gekihenkanwa.jp. 86400 IN NS ns-1096.awsdns-09.org.
www.nenryo-gekihenkanwa.jp. 86400 IN NS ns-1917.awsdns-47.co.uk.
www.nenryo-gekihenkanwa.jp. 86400 IN NS ns-372.awsdns-46.com.
www.nenryo-gekihenkanwa.jp.   300 IN TXT "saved by tss"
www.nenryo-gekihenkanwa.jp. 86400 IN A 153.127.64.61

その後 (2)

• mimamoriland.metro.tokyo.lg.jp. の AWS Route 53 に向いていた lame delegation を保護 (3/8 〜 3/18 解消)

  mimamoriland.metro.tokyo.lg.jp. 300 IN TXT "saved by tss"

• pref.yamaguchi.lg.jp のサブドメイン 4 つの lame delegation を保護し通報、迅速に解決 (3/26 〜 3/27)
  

  doubutuaigo.pref.yamaguchi.lg.jp. 3600 IN NS ns1.dns.ne.jp.
  doubutuaigo.pref.yamaguchi.lg.jp. 3600 IN NS ns2.dns.ne.jp.
  
  zenryoku.pref.yamaguchi.lg.jp. 3600 IN NS ns1.dns.ne.jp.
  zenryoku.pref.yamaguchi.lg.jp. 3600 IN NS ns2.dns.ne.jp.
  
  kirara.pref.yamaguchi.lg.jp. 3600 IN NS ns1.dns.ne.jp.
  kirara.pref.yamaguchi.lg.jp. 3600 IN NS ns2.dns.ne.jp.
  
  jinkenfes.pref.yamaguchi.lg.jp. 3600 IN NS ns1.xserver.jp.
  jinkenfes.pref.yamaguchi.lg.jp. 3600 IN NS ns2.xserver.jp.
  jinkenfes.pref.yamaguchi.lg.jp. 3600 IN NS ns3.xserver.jp.
  jinkenfes.pref.yamaguchi.lg.jp. 3600 IN NS ns4.xserver.jp.
  jinkenfes.pref.yamaguchi.lg.jp. 3600 IN NS ns5.xserver.jp.

その後 (3)

なお XServer ではこんな設定が可能 (私以外にも多数の lg.jp ゾーンを確認 / パブリックサフィックスの盲点)

その後 (4)

• menkaishitsu-yoyaku.isa.go.jp (出入国在留管理庁) のさくらへの lame delegation を保護 (3/26 〜 未解決^*)
  
  
  

その後 (5)

以下は外部名の NS が危険であることを示す例 (VISA.CO.JP 問題も E-ONTAP.COM の再登録によって生じた)

• 放棄 (2012) のあと人の手を渡り歩いていた MJH21.NET (旧 宮崎情報ハイウェイ21) を保護 (2024/11/16)

• mjh21.net に依存した city.kushima.miyazaki.jp, town.takaharu.miyazaki.jp も保護していたが 3/26 解決
• town.takachiho.lg.jp は未解決

  town.takachiho.lg.jp.	86400 IN NS ns1.town-takachiho.jp.
  town.takachiho.lg.jp.	86400 IN NS ns2.mjh21.net.

その後 (6)

metro.tokyo.lg.jp の 2 つのサブドメインを保護 (4/10 朝〜 4/10 21時頃 解決)

generic2024.metro.tokyo.lg.jp. 3600 IN TXT "saved by tss 2025/4/10"
r6ninyomae.metro.tokyo.lg.jp. 3600 IN TXT "saved by tss 2025/4/10"

東京都デジタルサービス局のお問い合わせフォームへ連絡

その他 lame delegation は多数

対策

• 浸透いうな ^*1 (DNS の仕組み、特に委任と TTL の理解は必須 / DNS 温泉を推奨)
• 共用サーバは避ける
• 外部名の NS は避ける
• 委任と権威の双方 の NS の一致の確認 (dig, DNS健全性チェッカー等を活用)
  ☞ サーバを指定した非再帰問い合わせを知るべし (dig @サーバ ... +norec)
• グルーレコードが正しく権威サーバの IP アドレスを指しているかも確認 (AC, IO, SH, TM 事件参照)
• 委任の監視 (定期)
• CNAME の死活監視 (定期)
• 権威サーバの応答の監視 (定期)
• ドメイン名の登録期限の確認 (定期)
• ゾーン削除前に委任を削除・確認
• ゾーン削除/サーバ解約は TTL ^*2 を越えてから (org 1時間、jp 1日、com 2日、など)
• サーバ解約前に紐づいたリソースレコード (A, AAAA, CNAME, MX 等) を削除・確認
• 一括管理にはゾーン転送を活用するのも手

資料: 注意喚起・解説 (1)

レンタルサーバの危険性に関して

　共用のサーバは危険。ドメイン名の権利確認を行わないサービスに大きな問題がある。

• サービス運用上の問題に起因するドメイン名ハイジャックの危険性について (JPRS, 2012)
• 黒塗りのDNS...(ssmjp, 2019)
• 共用 DNS 権威サーバの脆弱性 / 黒塗りのDNS -論文編-...(情報処理学会 CSEC87, 2019)

Dangling Records に関して

• サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて (2025/1/21 JPRS)
• 終わったWebサイトのDNS設定、そのままになっていませんか？ (2025/1/21 JPRS)
• サブドメインテイクオーバーの概要とその防止策 (2021 JPRS)
  

  サブドメインテイクオーバーの防止策				
  ① 利用終了時に、利用開始時に設定したDNS設定を削除する
  ② テイクオーバー可能なDNS設定が残っていないかチェックする
  ③ サブドメインテイクオーバーされにくいサービスを使う

資料: 注意喚起・解説 (2)

Lame Delegation に関して

• DNSの不適切な運用が生むドメインハイジャックの危険性について (E-ONTAP管理人)
• DNSの健全な運用のために (JPRS)
• DNS の不適切な設定が発生する危険性があるケースとネームサーバ設定状況の確認方法について (2005/8/25 JPRS)
• DNS サーバの設定とドメイン名の登録に関する注意喚起 (2005/6/28 JPCERT/CC)
• ドメイン名の運用管理に関する注意喚起 (2005/6/30 総務省)

セキュリティの研究倫理について

• 人格の尊重(Respect for Persons)
  

  研究対象の参加は本人の自由意志によって決まり、インフォームドコンセントによるべきである．本人が意思決定する権利を尊重すること．直接的な研 究対象だけでなく、研究によって影響を受ける可能性があるが、自身の意思決定によりこれを決められない個人も保護の対象である

• 恩恵(Beneficence)
  

  危害を加えないこと．研究により得られ得る恩恵を最大にし、与えうる危害を最小にすること．リスクと危害と恩恵のアセスメントを行うこと

• 正義(Justice)
  

  個人は自身の扱いについて平等に配慮を受けるべきであり、研究の恩恵は平等に分配されるべきである．研究対象の選択は公正に行われ、負担は研究対象に対して同等に分担されるべきである．

• 法と公益の尊重(Respect for Law and Public Interest)
  

  法に従うこと．研究方法と結果の透明性を保つこと．行為に責任をもつこと．

☞ Coordinated disclosure か Full disclosure かはケースバイケース

終わり?

まだまだたくさんの危険な設定不備が、、、