1. DNS/セキュリティ勉強会

目標: 共用DNSサービスの危険性 を理解しましょう。

 さくらのDNSサービスにドメイン乗っ取りに直結する問題がありました。(たぶん今も)

危険性の影響は「徳丸浩の日記」に説明されています。

ウェブ(セキュリティ)を扱うひと向けにDNS/危険なサービスを解説します。

本当に怖い話は聞きたくないものですが、ぜひ理解してください。お願いします。

1.1. 安心したいはかなわぬ夢

DNSは崩壊しています。ネットも崩壊しているのでしょう。そして、地球というか人類の環境も。

DNSは頭で理解するだけではだめです。運用が重要です。

1.2. 質問

DNSは使っていますか。誰が管理していますか。

1.3. DNS についての基礎知識

前提としてDNS入門 は理解しているものとしたいのですが、無理なんでしょうね。

ドメイン名の階層に応じた形でDNSデータは分散しています。そうでなければ、管理出来ません。

分散しているデータを統合するための仕組みが委任・委譲です。(DNSコンテンツ)

利用する側としては毎回、根元からたどるのでは根元に負荷が集中してつかいものになりません。

末端のPCなどはキャッシュに問い合わせることにします。

例題 : moin.qmail.jp の IPアドレスを調べる。

1.4. DNS サーバ

DNSサーバと言われているものは一種類ではないこと。(コンテンツサーバ、キャッシュサーバ、リゾルバーなどの区別)

1.5. DNS ハイジャック

ドメインを部分的でも乗っ取られると危険です。最小でもフィッシングに加担してしまいます。

DNS的に言えば、メールは気づかれることなく覗き見されてしまうでしょう。

キャッシュサーバへの毒盛もハイジャックにつながりますが、 これは特定キャッシュサーバを使っているひとだけに影響するものです。

今回の件はvisa.co.jp の乗っ取りなどと同様に、 コンテンツサーバを自由にしてしまうので、 当該ドメインの利用者すべてに影響が及びます。

1.6. さくらのDNSサービスの問題

発覚までのいきさつ

さくらで起きたこと

1.7. JPRS の注意喚起 (6/22)

JPRSはDNSの専門家を抱えているだけあって、技術的正確さはさくらよりはましだが、 警告対象をDNSサービス業者(だけ)とするという間違いを犯している。

今回のような話は被害を受ける可能性の大きいウェブ業者にも分かるように説明すべきであった。 今日現在もそのような告知は行われていないと考える。

1.8. 他のDNS業者はもっと危ない

さくらは指摘されたことで、多少は改善されたが、指摘しても直さない業者もある。(多い)

1.9. 共用サーバの危険性

ホスティングサービス付属の共用のDNS(権威)サーバには登録時の検査が緩いものがあります。

他社で取得したドメインでも登録できる業者があぶない。

1.10. ドメイン所有者が無責任

ドメイン所有者(あるいはその代理)自身のDNS管理がなっていないのが最大の問題です。

レジストラ、あるいはドメイン再販業者の運用するDNS(権威)サーバはドメインの所有者を確認しているので、 安全なのかもしれません。(使いやすさとは別の話です。)

ドメイン所有者の責任が重要なことは確かですが、そう言い切って、ドメイン販売のおいしいところだけ をとっているのがレジストラでしょう。

1.11. セカンダリDNSサービス

セカンダリDNSサービスなども同様に危ないだろう。

信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているならいいが。

キャッシュサーバならぬ権威サーバへの毒盛が成立するかもしれない。

1.12. まとめ

「誰がどういうゾーン(レコード)を登録しているか明らかでないような」DNS権威サーバを 自分の所有するドメインの権威サーバとして指定するなんて、危険すぎて私には理解できません。

たまたま名前解決できるように設定できたとしても、乗っ取られる危険がないという保証はない。

amazon route 53 もドメイン(ゾーン)所有確認がないようなのですが、安全なのでしょうか。 もし安全だというのであれば、その理由を知りたいものです。

1.13. JP 登録

危険な権威サーバをJPサーバに登録したまま(管理放棄)にしているドメインが見つかっています。

具体的にはさくらのDNSサーバを登録しています。でも、ゾーンデータは設定されていない。

1.14. おまけ

石油減耗はご存知ですか。エネルギーピークはいかがですか。 EPR は

本当に怖い話は聞きたくない。見たくないものです。その気持ちは分かります。

でも、目の前までやってきている危険から目をそらしてはいけないのです。

1.15. 資料

さくらインターネットのお知らせが意味するもの

DNS関連サービス/システムにおける危険性への緊急対策について [2012年7月3日]

Internet Weec 2012 DNS Day DNS/IW2012/ランチセミナー の資料(JPRS)

visa.co.jp 乗っ取りの話 http://www.e-ontap.com/summary/

対策案: DNS/サービス/同居を許さない