1. DNS/脅威/共用ゾーンサービス

登録ドメイン名の権利確認を怠っているサービスは脆弱というよりは社会的な害悪と呼びたい。

DNS/共用ゾーンサービス は脆弱です。/使用上の注意

https://0xpatrik.com/subdomain-takeover-ns/

1.1. 権利確認の欠落

2012年に気づいた。-- ToshinoriMaeno 2019-04-05 16:01:53

任意のドメイン名(権利の有無を問わない)を登録できてしまうという恐ろしい話

なにが問題なのか。JPRSの注意喚起を参照。(サブドメインを問題にしているが、それだけではない。-- ToshinoriMaeno 2019-04-05 15:38:54)

どう対策されたのか。さくらはある程度対策したが、他は不明だ。

不十分だということが分かりました。-- ToshinoriMaeno 2019-03-31 07:08:29

/lame_delegationを発生させると、すぐに乗取られることにつながる。

2012年に発覚したのに、進展がない。

さくらの現状でほぼよさそうという判断をした。-- ToshinoriMaeno 2018-08-30 06:28:19

他社については、情報がない。-- ToshinoriMaeno 2018-08-30 06:28:19

Google, AmazonのDNSサービスも似た脆弱性があります。(2016年の指摘。現状はどうなのか)

DNS/hijacking/thehackerblog/Orphaned には対症療法の提案がありました。-- ToshinoriMaeno 2019-03-31 07:07:45

1.2. 危険性

1.2.1. サブドメイン登録

現存するゾーンサーバーの動作に問題がある。サブドメイン名でゾーンを作られると、...

ドメイン名の権利者でなくとも任意のドメイン名を登録できてしまう。

2012年に気づいたとんでもないサービス /さくら など /さくら/使用上の注意 まるで、個人が動かしたDNSゾーンサーバだ。

徳丸浩の日記 さくらDNSにサブドメインハイジャックを許す脆弱性

DNS関連サービス/システムにおける危険性への緊急対策について [2012年7月3日] http://faq.21-domain.com/index.php?action=news&newsid=51&newslang=ja /21-domain

DNSの仕組みを理解不足のままで便利さだけを求めるひとたち。それにつけこむ業者がほとんどだ。

我々の指摘により、/さくら は少し改善されたが、まだ安全からは遠い。 -- ToshinoriMaeno 2015-07-08 00:20:02

http://www.e-ontap.com/blog/20141107.html

1.2.2. JPRS警告

JPRSも警告を出した: (これもサブドメインに注目したものに過ぎなかった。-- ToshinoriMaeno 2019-04-05 15:38:54) https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

これにはさくらが気づいたケースは含まれていない。 

-- ToshinoriMaeno 2017-12-15 16:04:04

/route53

1.3. lame delegation

さくらの対応で知った。こちらも危ない。 ゾーンを作成していないのに、delegationだけ登録してしまっている場合だ。-- ToshinoriMaeno 2019-05-20 01:21:18 「ドメイン名ハイジャック」、「DNSなりすまし」に直結する。

1.4. DNSサービスを提供している業者

  1. DNSサービス専業
  2. レジストラ/レジストリ(ドメイン販売業者)
  3. 一般サーバー(VPS, ホスティング)
  4. webサーバー

webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。

StarServerの確認手順(危ない) https://www.star.ne.jp/manual/domain_add_other.php

1.5. さくらを例に使って

ここにあげた例はさくらではエラーになって、大きな問題とはならないが、他社ではどうだろう。

-- ToshinoriMaeno 2016-01-02 10:57:29

1.6. サブドメインを別管理

運用の手間をかけて、サブドメインを別アカウント管理にする価値があるのかどうか。

-- ToshinoriMaeno 2017-12-15 06:10:45

1.7. IIJ

/IIJ https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yamaguchi.pdf

-- ToshinoriMaeno 2017-12-15 16:09:49

DNS ホスティング事業者の特徴
• 共用ホスティング
– 所有者の異なるゾーンが同じサーバに収容される
– 専用ホスティングが不可能なわけではない
• が、実際にそのような事業者が存在すると聞いたことはない
• 収容ゾーン数が多い

親子同居問題
• たくさんのゾーンが同じサーバに収容される
• 親子関係になってるゾーンも
権威サーバ
example.net example.com
example.jp sub.example.com
• NS で明示的に親ゾーンから子に権威を委譲しなくても、
  権威サーバは子ゾーンに対する問い合わせに権威応答を返す
– そうすべきというルールはないはずだが、
 既存の権威 DNS サーバ実装はどれもみなそのように動作するようだ

サブドメインハイジャック
  example.com ゾーン内の www.example.com
  www.example.com ゾーン内の www.example.com
親子同居しているとき、優先されるのは後者
親ゾーンと子ゾーンの管理者が別だったら......?
– 悪意ある人物が www.example.com ゾーンを契約することで、親ドメイン内の www.example.com を乗っ取れる

ドメインハイジャック
• サブドメインが特定の名前の場合、親ドメイン乗っ取りも可能

内部名で指定されている NS、MX、SRV
wpad.example.com (プロクシ自動設定)
isatap.example.com (lSATAPルータ自動発見)
_domainkey, _dmarc (メール送信ドメイン認証)
_tcp, _udp (SRV)
_acme-challenge (SSL証明書発行)

• 2012年に注意喚起が出ている
– https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

DNS ホスティングの位置づけ
• 無料または安価な「おまけ」サービス
– ドメインを買ってくれたお客さんにおまけ
– Webホスティングを買ってくれたお客さんにおまけ
– 回線接続を買ってくれたお客さんにおまけ
• 安いおまけが競合なので、DNS 単体サービスも高い料金では客がつかない
• DNS は金にならない
• 攻撃がなかった時代ならそれでも採算取れたんですけどね

ドメインハイジャック対策
• そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃないの?
– 同じ組織だけどあえて別契約にしたい、というケースもある
• 本社と地方拠点とか、サブドメインの運用を SIer に委託する、とか
– 顧客の利便を考えると、一概に断るのは難しい
• IIJ の場合、親ゾーンの管理者と異なる人が子ゾーンを契約しようとした場合、親の契約者に確認を取る

1.8. niftyの対応

http://www.e-ontap.com/blog/20130430.html

他社ドメイン登録機能において、セキュリティ強化のため
2013年4月3日にサブドメイン形式での登録を停止いたしました。