さくらからお知らせがでている。2012年06月29日づけ

• いろいろ危険性は残っているが、待っても対応されるとは限らない。
  • 危険性の存在をはっきりさせることが重要だと考えるので、ここに記す。

-- ToshinoriMaeno 2012-07-06 01:17:28

1. DNS/サービス_さくら/脆弱性/経緯

背景：所有確認なしサーバの危険性には以前から注目していた。

• 親子同居問題は10年以上前に経験していたが、理解していたとは言えない。

1.1. きっかけ

1. Ghost Domain Names の脆弱性確認の一環で、yatz82 さんと作業しているときに、危険性を知る。

   • 別人がスーパードメインを登録できてしまう。To_yatz/2012-04-02 : アクセス制限あり。

2. seaki さんのtweet がきっかけで「落とし穴攻撃」ができることに気づく。（4/11)

   • www.sastudio.jp を作っておいて、sastudio.jp を作ってもらったのだった。
3. 落とし穴攻撃を効果的にするには、ターゲットを穴に誘導せよとの話をみて、落ちやすい相手を探すことにした。
4. さくらをJP登録しているにもかかわらず、さくらが返答しないドメインがかなりある。
   • これらが登録できるか試してみたい。幸い(?)なことは hakuba.[ne.]jpがあったこと。
5. hakuba 管理者に連絡して、stealth.hakuba.ne.jp が登録できることを見せた。 多分、この時点ではこれがサブドメイン脆弱性だとは思っていなかったのではないか。 登録できて当然だと思っていたから。
   • ところが、落とし穴に落ちてくれるはずの上位のhakuba.ne.jpゾーン が登録できない。
   JP登録されているが、さくらに登録できないというのは臭う。
   • ひよっとすると、サブドメインが登録できるのではないか、と「その時に」思ったかどうかは記憶にはない。
6. サブドメインが登録できるという脆弱性に気づいて、どう公表するかちょっと考えて、
   • 徳丸さんに手伝ってもらう、森下さんの耳にも入れておこうと思ったのが6/9 ではないか。

1.2. さくらの脆弱性

前置きが長くなったが、さくらDNS脆弱性をみっつに分けて考えることにする。

1. だれでもなんでもゾーン追加（登録）できる。（所有検査なし脆弱性）
2. 下位ドメインが登録されているのに、上位ドメインが登録できる。（スーパードメイン脆弱性）
3. 上位ドメインがあるのに、下位ドメインが登録できる。（サブドメイン脆弱性）

ただし、重なりを排除するために、２、３に該当するケースは１からは除外して考える。

これら以外の原因については今は考察しない。

1.3. さて本題

• hakuba.ne.jp 関係の脆弱性を発見したときに、「サブドメイン脆弱性だと思った」のは誤解だった可能性がある。 瓢箪（ひょうたん）から駒（こま）である。 このことはhakuba管理者とさくらサポートのちぐはぐのやりとりをあとから見せてもらって気づいた。

以下はその説明である。

• hakuba.ne.jp を落とし穴に誘導するのが当面の目的だとする。

1.3.1. なぜ hakuba.ne.jp なのか

JP登録がどうなっているか、調べてみてほしい。

1.3.2. 落とし穴を掘る

stealth.hakuba.ne.jp ゾーンを作成した。（1 番の脆弱性）

1.3.3. 穴に誘導する

さくらDNSがhakuba.ne.jp を答えないことは確認ずみ。（いまも答えない）

• hakuba.ne.jp 管理者にさくらでhakuba.ne.jp を登録してもらう。（2番の脆弱性）
  • （前野が作成できないことは事前に確認ずみ。なんらかの検査があるのだろうと思っていた。）
  primary DNS になるということで、すこしためらっておられたが、
  • すぐに削除してもらってかまわないからと、説得して試してもらう。
    • でも、登録できないことが判明した。

あれ、予定外の状況だ。（hakuba.ne.jpゾーンは空だが、すでにあるのかな？）

• なにが起きているのだろう。ー＞　ゾーンがあるなら、３番の脆弱性じゃないか。

• この思い込みがサブドメイン登録脆弱性の発見につながったから、思い込みも役立つことがある。

  • -- ToshinoriMaeno 2012-06-30 02:14:30

1.3.4. サブドメイン登録

徳丸浩の日記でも紹介されているように、徳丸さん経由でさくら（社長）に連絡してもらった。

• ここでもいろいろ行き違いがあったが、ここには書かない。
  • 脆弱性塞ぎは比較的素ばやく対応したが、あとが続かない。（まともな広報はいまもない。）

1.3.5. hakuba.ne.jp 問題

hakuba 管理者がサポートに問い合わせ連絡

• なぜ登録できないかの納得できる説明がない。
  • （のちにこちらの思い込みと間違いの説明が重なったものと分かった。）

1.3.6. hakuba.ne.jp ゾーンは追加登録できたが、編集できない

なぜそういうことになるのか。

前野が作成したqmail.hakuba.ne.jpが存在するので、そちらを守るためらしいが、 hakuba.ne.jp 所有者に対しての対応としてはおかしいだろう。

• きちんとした説明ができないらしい。

セカンダリーサーバーとしての設定もできないようだ。

こうなると、qmail.hakuba.ne.jp を消してみるくらいしかないが、

• 一度消すともう作れないので、戻っての検証はできなくなる。

hakuba管理者の意思決定待ち。 -- ToshinoriMaeno 2012-06-30 02:14:30

1.4. さくらの対応

お知らせを見ると、問題点は認識したようにも読める。

• いずれ所有確認するとのことだから、それが実行されるか、見守る。

-- ToshinoriMaeno 2012-06-29 23:29:13

お知らせには結構きわどい部分もある。特に対策されていないらしい部分とか、 さくらは問題にならないと考えているらしい部分とか。（公開では書けないな）

どこかで、誰かがポロッと言うのを待つ。:-) -- ToshinoriMaeno 2012-06-30 07:34:43