1. DNS/脅威/共用ゾーンサービス
ドメイン名の権利確認を怠っているサービスは脆弱というよりは社会的な害悪と呼びたい。
- webサービス業者が登録を強要していると言ってもいいDNSサービスは大丈夫なのだろうか。
Contents
DNS/共用ゾーンサービス は脆弱です。/使用上の注意
https://0xpatrik.com/subdomain-takeover-ns/
共用 DNS 権威サーバの脆弱性 https://twitter.com/tss_ontap_o/status/1501726291724177410?s=20&t=1JamtQ13MC_F7dR3MH9_Bw
共用 DNS 権威サーバの脆弱性 file:///home/tmaeno/Downloads/IPSJ-CSEC19087010.pdf
1.1. 権利確認の欠落
2012年に気づいた。-- ToshinoriMaeno 2019-04-05 16:01:53
任意のドメイン名(権利の有無を問わない)を登録できてしまうという恐ろしい話
なにが問題なのか。JPRSの注意喚起を参照。(サブドメインを問題にしているが、それだけではない。-- ToshinoriMaeno 2019-04-05 15:38:54)
どう対策されたのか。さくらはある程度対策したが、他は不明だ。
不十分だということが分かりました。-- ToshinoriMaeno 2019-03-31 07:08:29
/lame_delegationを発生させると、すぐに乗取られることにつながる。
2012年に発覚したのに、進展がない。
- ゾーンサービス業者は責任の自覚がない。IPAも逃げの姿勢だ。
さくらの現状でほぼよさそうという判断をした。-- ToshinoriMaeno 2018-08-30 06:28:19
これが間違いであったことが分った。-- ToshinoriMaeno 2019-04-05 15:38:54
他社については、情報がない。-- ToshinoriMaeno 2018-08-30 06:28:19
Google, AmazonのDNSサービスも似た脆弱性があります。(2016年の指摘。現状はどうなのか)
DNS/hijacking/thehackerblog/Orphaned には対症療法の提案がありました。-- ToshinoriMaeno 2019-03-31 07:07:45
1.2. 危険性
1.2.1. サブドメイン登録
現存するゾーンサーバーの動作に問題がある。サブドメイン名でゾーンを作られると、...
ドメイン名の権利者でなくとも任意のドメイン名を登録できてしまう。
- サブドメインやスーパードメインを作られたらと思うと心配になりませんか。
2012年に気づいたとんでもないサービス /さくら など /さくら/使用上の注意 まるで、個人が動かしたDNSゾーンサーバだ。
徳丸浩の日記 さくらDNSにサブドメインハイジャックを許す脆弱性
DNS関連サービス/システムにおける危険性への緊急対策について [2012年7月3日] http://faq.21-domain.com/index.php?action=news&newsid=51&newslang=ja /21-domain
DNSの仕組みを理解不足のままで便利さだけを求めるひとたち。それにつけこむ業者がほとんどだ。
我々の指摘により、/さくら は少し改善されたが、まだ安全からは遠い。 -- ToshinoriMaeno 2015-07-08 00:20:02
http://www.e-ontap.com/blog/20141107.html
1.2.2. JPRS警告
JPRSも警告を出した: (これもサブドメインに注目したものに過ぎなかった。-- ToshinoriMaeno 2019-04-05 15:38:54) https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html
- 既存のドメインのサブドメインとスーパードメインを登録させないように、という警告である。
これにはさくらが気づいたケースは含まれていない。
- さくらに委譲ずみだが、さくらにはゾーンが存在しないと言った場合である。
-- ToshinoriMaeno 2017-12-15 16:04:04
1.3. lame delegation
さくらの対応で知った。こちらも危ない。 ゾーンを作成していないのに、delegationだけ登録してしまっている場合だ。-- ToshinoriMaeno 2019-05-20 01:21:18 「ドメイン名ハイジャック」、「DNSなりすまし」に直結する。
1.4. DNSサービスを提供している業者
- DNSサービス専業
- レジストラ/レジストリ(ドメイン販売業者)
- 一般サーバー(VPS, ホスティング)
- webサーバー
webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。
StarServerの確認手順(危ない) https://www.star.ne.jp/manual/domain_add_other.php
1.5. さくらを例に使って
- JP DNSにさくらDNSを使っているドメインを約8000件知っている。
- sakuraが返事をしないものが233個もある。(さくらから転出したか、設定ミスか)
- これらを登録することで、ドメインハイジャックが可能かもしれない。
- さくらのお知らせにはその危険性が述べられていたのだが、さくらはそれには対応しなかった。
前野はそのことを見落とした。(ドメイン名の権利確認をするという方法しか考えなかった。) -- ToshinoriMaeno 2019-04-05 15:52:04
- 逆にsakuraは返事をするが、JPにはsakuraは登録されていないものを1100件以上見つけた。
https://twitter.com/beyondDNS/status/683230420943634432?lang=ja これらは単純な手続きではsakuraには登録できない。
- 通常の手続きではエラーになるので、戸惑うであろう。
ここにあげた例はさくらではエラーになって、大きな問題とはならないが、他社ではどうだろう。
-- ToshinoriMaeno 2016-01-02 10:57:29
1.6. サブドメインを別管理
運用の手間をかけて、サブドメインを別アカウント管理にする価値があるのかどうか。
- 今後の課題か。route53のように別サーバー(IPアドレス)にするのが簡単だろう。
-- ToshinoriMaeno 2017-12-15 06:10:45
1.7. IIJ
/IIJ https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yamaguchi.pdf
- 2016年になってもここにある程度の対策しかしていないのでは、ここも使いたくない。
- サブドメイン登録時の制約だけでは不十分というしかない。
-- ToshinoriMaeno 2017-12-15 16:09:49
DNS ホスティング事業者の特徴 • 共用ホスティング – 所有者の異なるゾーンが同じサーバに収容される – 専用ホスティングが不可能なわけではない • が、実際にそのような事業者が存在すると聞いたことはない • 収容ゾーン数が多い
親子同居問題 • たくさんのゾーンが同じサーバに収容される • 親子関係になってるゾーンも 権威サーバ example.net example.com example.jp sub.example.com • NS で明示的に親ゾーンから子に権威を委譲しなくても、 権威サーバは子ゾーンに対する問い合わせに権威応答を返す – そうすべきというルールはないはずだが、 既存の権威 DNS サーバ実装はどれもみなそのように動作するようだ
サブドメインハイジャック example.com ゾーン内の www.example.com www.example.com ゾーン内の www.example.com 親子同居しているとき、優先されるのは後者 親ゾーンと子ゾーンの管理者が別だったら......? – 悪意ある人物が www.example.com ゾーンを契約することで、親ドメイン内の www.example.com を乗っ取れる ドメインハイジャック • サブドメインが特定の名前の場合、親ドメイン乗っ取りも可能 内部名で指定されている NS、MX、SRV wpad.example.com (プロクシ自動設定) isatap.example.com (lSATAPルータ自動発見) _domainkey, _dmarc (メール送信ドメイン認証) _tcp, _udp (SRV) _acme-challenge (SSL証明書発行) • 2012年に注意喚起が出ている – https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html
DNS ホスティングの位置づけ • 無料または安価な「おまけ」サービス – ドメインを買ってくれたお客さんにおまけ – Webホスティングを買ってくれたお客さんにおまけ – 回線接続を買ってくれたお客さんにおまけ • 安いおまけが競合なので、DNS 単体サービスも高い料金では客がつかない • DNS は金にならない • 攻撃がなかった時代ならそれでも採算取れたんですけどね
ドメインハイジャック対策 • そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃないの? – 同じ組織だけどあえて別契約にしたい、というケースもある • 本社と地方拠点とか、サブドメインの運用を SIer に委託する、とか – 顧客の利便を考えると、一概に断るのは難しい • IIJ の場合、親ゾーンの管理者と異なる人が子ゾーンを契約しようとした場合、親の契約者に確認を取る
- これでも不十分。
1.8. niftyの対応
http://www.e-ontap.com/blog/20130430.html
他社ドメイン登録機能において、セキュリティ強化のため 2013年4月3日にサブドメイン形式での登録を停止いたしました。