1. DNS/共用サービスの危険性
さくらの共用DNSサービス(ゾーンサービス)に問題があることを発見しました。(2012年4月)
- さくらに連絡しました。問題点は理解してもらったはずで、「登録手順」は修正したとの返事をもらいました。
- さくらの言い分は実装に欠陥があった。仕様には問題なし、とのことです。でも、仕様は非公開らしい。
-- ToshinoriMaeno 2012-05-01 07:42:30
1.1. だが、実際には修正されていませんでした。
- それどころか、指摘したものよりもずっとひどい穴が見つかりました。(別途解説します。)
1.2. その他の危険性
さくらDNSをJP登録しているドメインで乗っ取りの危険があるものを165個検出しました。 うち25個はco.jpです。
現在は利用されていないものだが、/フィッシングに使われる可能性があります。
- これらのドメインの危険性に責任があるのは主としてドメインの所有者です。
さくらDNSサービスはそれらを簡単に悪用できる道具を提供しています。
- どこまで責任を問えるかはむずかしい議論かもしれません。
-- ToshinoriMaeno 2012-12-07 00:36:34
調べていくと、DNSのかなり根本的な問題にも行き着きました。
- 実装にも問題があります。(多分、BINDとその派生品すべて)
2. 警告
ドメイン所有を確認しないような共用DNSにドメインを任せると、乗っ取られる可能性があります。
- つまり多くの共用DNSサービスはあぶないといことです。
3. 共用サーバの危険性
ホスティングサービス付属の共用のDNS(権威)サーバは登録時のドメイン所有者検査が不十分です。
- 無料で使えるDNSサーバはその程度のものだと思って使うべきなのでしょう。
dozens.jp も所有者確認はしていませんでした。
有料のDNSサービスと同じホストを使って共用サービスするDNSプロバイダもあるので、注意が必要です。
4. awsdns
awsdns でもドメインの持ち主の確認はしていないようです。
- ただし、多数(推定では2000以上)のDNSサーバがあるので、本当に危ない設定ができるかは不明です。 確認は容易ではありません。
レジストラ、あるいはドメイン再販業者が運用するDNS(権威)サーバは
- ドメインの所有者を確認しているようなので、安全なのかもしれません。(使いやすさとは別の話です。) (例)onamae.com が提供している dnsv.jp サーバ
5. ドメイン所有者の責任
(所有しているかどうかに関係なく)どんなレコードでも登録できるような共用の権威サーバを使うのなら、 ドメイン所有者は自分のドメインに対する権威サーバの返事をきちんと確認して、それらに責任をもつべきです。 それくらいしか、使い続ける理由は思いつきません。
6. 古い情報に注意
ドメインの所有者は時とともに変化するものです。
- 登録時に所有者であっても以降もずっと所有しているとは限りません。
古いDNSレコードを返事しつづける権威サーバ(幽霊船)にはご注意を。
7. 情報提供のお願い
共用の権威サーバに誰がどのようなデータを登録できるか、調べてみてもらえませんか。 (レジストラが運用していて、ドメイン所有を確認しているものは除外します。)
Google の DNSサービスではよそで取得したドメインを登録するときに所有者確認をしていたような気がします。
- ご存知の方は教えてください。
8. セカンダリDNSサービス
セカンダリDNSサービスなども同様に危ないのかもしれない。
- 運用によるだろうが。どうやって、幽霊がひそんでいないことを確認しているのだろう。
信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているなら、問題は起きないだろう。
- でも、それが守られているという保証はあるのか。
ゾーンデータの独立性とは?
-- ToshinoriMaeno 2012-04-22 23:16:52