MoinQ: DNS/脅威/共用ゾーンサービス/さくら/落とし穴

無断転載禁止（と書いておく。常識のないのになにを言っても無駄かもしれないが）

• 部分的な転載もお控えください。連絡いただければ、検討します。 （リンクを引用元として明示した引用は当然許されるものです。）

DNS/サービス/　DNS/さくら/hakuba

1. DNS/サービス＿さくら/落とし穴

DNSサービスの脆弱性はいくつもあって、以下はそのひとつにすぎません。

• 徳丸浩の日記：http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html にある「サブドメインハイジャックを許す脆弱性」

  • 結果として重大な脆弱性になりましたが、別の脆弱性に対応しようとしたときのミスでした。 普通なら、こんなミスを作り込むことはないでしょう。 （専用DNSサーバの実装にも問題があると前野は考えています。）

さて、さくらDNSの欠陥に気づいたきっかけです。これは危ない臭いがしました。

誰でもどんなレコードでも登録できる。（ドメイン所有確認がない。）

でも、すでに登録されているゾーンのサブドメインを「ゾーン追加」しようとするとエラーになる。

• 当然の処置ですね。これは 徳丸浩の日記にある脆弱性が存在していなかった時のことです。

  • http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html

逆にすでに登録されているゾーンの上位のゾーンを追加したらどうなるか。

• これが登録できてしまったので慌てました。 seaki さんに協力してもらって確認したのが、4月の中旬のことです。
  • (sastudio.jp はさくらに登録していなかった。了解の元、前野がqmail.sastudio.jp を登録できた。
    • そして、seaki さんにsastudio.jp を作ってもらった。ビンゴ！）
  この脆弱性は簡単には悪用できませんが、「落とし穴」としては使えるのです。

この種の脆弱性は見落とされがちだという説があって、「さくらだけではない」ことも確認してある。

• 某社は出きるようにしてあるとまで言い切っている。

2. 落とし穴とは

サブドメインを先に作っておいて、親ドメインが登録されるのを待つ攻撃を「落とし穴攻撃」と 呼んでおきます。「あり地獄風攻撃」より悪質です。

気の長い話ですが、落とし穴を作っておけば、誰かを誘い込む機会はできるでしょう。

• まずは当事者のさくらに連絡してみることにしました。

3. さくらへの連絡とその後

サブドメインハイジャックの脆弱性を発症させてしまったときまでの経緯です。

さくらの田中社長とはtwitterでコンタクトがあったので、twitterで連絡してみました。

• 最初はそんなはずはないという対応でした。（仕様とは異なる動作だという。当然ですね。） そこで、証拠になる登録をみせたら、しぶしぶ（？）修正を約束してくれました。
  • そして、「修正した」というだけの連絡をもらいました。
  修正したというものをわざわざ確認するほどさくらに入れ込んでいるわけではなかったので、 次の段階の指摘をしました。（それが甘かった。）

プログラムを修正したしただけでは今回の話は終わらないのです。

• すでに落とし穴は仕掛けられているかもしれない。 落とし穴が作動したゾーンがすでに作られているかもしれない。
  • 仕掛けられて待ち構えている落とし穴がまだ検査されていないかも。
  この調査を要望しました。5/4には調査中との返事があったが、その後はなしのつぶてでした。

そして、問題の6/8を迎えたのです。あっと驚きのサブドメイン登録可能という不良でした。 -- ToshinoriMaeno 2012-06-17 22:14:10

4. 共用DNSに残っている危険

さくらDNSでサブドメインハイジャックされたドメインはなさそうですが、 まとめているときに、まだ調査されていないだろうと思われる項目を思いだしました。 それが上に書いた「落とし穴攻撃」です。

さくらでは「落とし穴」対策もしているはずなので、実際には「落とし穴攻撃」は無力化されていると考えています。

5. 落とし穴の特徴

「落とし穴」の特徴を書いておきます。調査の助けにしてください。(さくらのために記述したもの）

• 落とし穴攻撃は攻撃対象ドメインのサブドメインを事前に作成することです。 したがって、通常利用されるドメインの形（定義はむずかしい）をしているものは落とし穴ではありません。 汎用JPドメインならレベル２までということ。

6. サブドメインは判別できるのか

都道府県型JPドメイン名や地域型ドメイン名については どういう名前がサブドメイン（落とし穴)だと判定すべきなのか、よくわかりません。

JPRSはやっかいなものを用意してくれたと思います。ドメイン所有を検査する方が簡単かもしれません。

7. 警告

さくらでは対策されたも危険なサービスは他にも存在することでしょう。

ということで、しばらくはこの警告はしませんでしたが、そろそろ公表します。

こんな警告をすると、新たなドメインを登録するときに心配する人がでることでしょう。

• そういう人は自分でDNS権威サーバを動かしましょう。 それができないなら、信用できそうな業者を選びましょう。

8. 記録 自分のためのメモ

四月中旬にさくらに「落とし穴」が作れる脆弱性を指摘しました。

• 四月末には修正したという連絡をもらっているのですが、実際には6月8日に修正（改悪）されたようです。

四月末にプログラムの修正だけでは不十分であることを書いて、

• 乗っ取りが起きていないかの調査を要望しました。

調査するという約束をとりつけたのは5/4 でした。

• 連休あけには公表しようと思っていましたが、念のために調べたらまだ開いたままでした。

それで何度か連絡したのですが、返事はいただけなかったようです。

• そして、修正（改悪）がおこなわれたのが6/8です。 実際には任意のサブドメインが作れるという大穴が開いてしまったわけです。 （あとから判明したのですが、不思議なことには改悪の直後に気づいたのでした。）

6/8 には修正のはずが大馬鹿をやって、既存ドメインのサブドメインを作れるという大穴を開けてしまいました。

さくらにとっては幸運なことに、6/8 の修正当日に前野らが穴に気づき、対応策を検討しました。

• それまでのさくらの対応だと、twitterだけでは不十分でしたから。

6/11には徳丸さんらを通じてさくらに連絡しました。

• 徳丸さんにお願いしたのは、影響力を期待したからです。

さくらの対応次第では、IPAにも届けようということになっていました。

• 結果はさくら社長に連絡が届いて、期待以上に敏速に適切な対応がとられていると考えています。

徳丸さんはウェブ作成者にも脆弱性の危険が伝わるようにうまくblogにまとめておられます。

• 徳丸さんに手伝ってもらったのはとてもよかったと思っています。

あとはJPRSの森下さんにも耳打ちしておきました。

• こちらもさくらが動かなかった場合の保護ネットでした。 セキュリティ界の有名人にも連絡しておきましたが、IPAに届けなさいという門前払いの返事でした。

9. 事後談

さくらがどういう対策をしたか、部分的には非公開のtweetにあります。

• まだ説明されていない対策もいくつかあるはずですが、それはいずれさくらから公表されると考えています。

さくらの調査によると12件のあってはならないゾーンが検出できたとのことです。

• 落とし穴は調査対象にはなっていなかったので、調査を依頼しました。
  • こちらは調査中とのことです。すでに使われていないゴミ登録ゾーンが多数あるようです。

-- ToshinoriMaeno 2012-06-17 22:23:21

他にもドメイン所有者の管理不良をつく攻撃を可能にするのが、共用DNSサーバです。

• 犯罪に利用されうることを知っていながら、放置しつづけていれば、責任を問われることでしょう。