MoinQ: DNS/共用権威サーバ/危険性

1. DNS/共用権威サーバ/危険性

JPRS からの注意喚起

【JPRS】【注意喚起】DNSサービスの運用に関する注意喚起文書を「JPRS DNS関連技術情報」に掲載いたしました。
  // ■サービス運用上の問題に起因するドメイン名ハイジャックの危険性について 
http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

運用だけに起因する脆弱性ではない。(運用上の問題に起因とはなにがいいたいのかわからん）｜

脆弱性が発症する条件がぼんやりと書いてある。

対策は業者が行うべきものなので、こういう権威サーバを利用している客ができることは 利用を止めることだけ。

キャッシュサーバを兼用していると、毒は入れ放題ということになりかねない。

-- ToshinoriMaeno 2012-06-22 10:51:53

運用で回避できる範囲でのみサービスするというのが、サービス業者としてはまっとうな道でしょう。安ければいいというのはおかしい。（犯罪の道具に使われると知って、道具を放置していれば、罪に問われても不思議ではない。）

DNSサーバの動作としても問題があるが、これは議論のあるところ。注意喚起には書けないのは理解する。

Orange

（この件はこの注意喚起で終わりなのではなく、むしろこれからが重要です。
この問題はさまざまな意味で根が深いので、地道に取り組むべき課題が（またしても）増えたということで）

課題が増えたというとらえ方は私とは違うな。 もともと明らかにすべきものが表にでてきた。それを解決しないと、他の課題は発展させる意味がない。 (DNSSECなんて当分先の話になった）

今回の件に関して さくらが重要であるとは考えなかったことは 私の最初の指摘が4/11ごろであるのに、修正(不良追加）が6/8であることと、 さくらからのまともなアナウンスが今もないことから判断しています。 徳丸氏に登場願った理由でもあります。

JPRSが表だって動きだしたのは徳丸さんのblogが公開された6/14以降だと思います。 Orangeさんには耳打ちしてあり、裏で協力いただいています。 今回の重大性を理屈で理解できるただひとりのひとと言ってもいいでしょう。

2. DNS の惨状への現時点での自衛策

tss_ontap_o tweet

 1. ゾーン登録手続きの安全確認について説明のないサービスは利用しない(危険)
 2. キャッシュ／コンテンツ兼用のサーバは利用しない(危険) 
 3. ICANN や JPRS の認定は信用しない  
 4. 通信相手の真正性を常に確認する