1. DNS/セキュリティ勉強会

目標: 共用DNSサービスの危険性 を理解しましょう。

• DNSの分散管理(委譲関係)を理解することが最初の段階です。

 さくらのDNSサービスにドメイン乗っ取りに直結する問題がありました。(たぶん今も)

危険性の影響は「徳丸浩の日記」に説明されています。

• http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html

ウェブ(セキュリティ)を扱うひと向けにDNS/危険なサービスを解説します。

本当に怖い話は聞きたくないものですが、ぜひ理解してください。お願いします。

• まずは危険性を理解してください。あつまりに呼んでください。

1.1. 安心したいはかなわぬ夢

DNSは崩壊しています。ネットも崩壊しているのでしょう。そして、地球というか人類の環境も。

• 誰かが直してくれると期待するだけではよくなりません。

DNSは頭で理解するだけではだめです。運用が重要です。

1.2. 質問

DNSは使っていますか。誰が管理していますか。

1.3. DNS についての基礎知識

前提としてDNS入門 は理解しているものとしたいのですが、無理なんでしょうね。

ドメイン名の階層に応じた形でDNSデータは分散しています。そうでなければ、管理出来ません。

分散しているデータを統合するための仕組みが委任・委譲です。(DNSコンテンツ)

• DNSは委任の管理(データ)が一番重要です。 ウェブアプリケーションのセキュリティでプログラミングが重要なのと似ていませんか。

利用する側としては毎回、根元からたどるのでは根元に負荷が集中してつかいものになりません。

• 分散した「木」の関連部分は近いところに「キャッシュ」しておきます。(キャッシュ)

末端のPCなどはキャッシュに問い合わせることにします。

例題 : moin.qmail.jp の IPアドレスを調べる。

• 関連するDNSコンテンツサーバ、たどり方など

1.4. DNS サーバ

DNSサーバと言われているものは一種類ではないこと。(コンテンツサーバ、キャッシュサーバ、リゾルバーなどの区別)

1.5. DNS ハイジャック

ドメインを部分的でも乗っ取られると危険です。最小でもフィッシングに加担してしまいます。

• 危険性の詳しい解説が徳丸浩の日記にありました。(さくらDNSさービスの脆弱性関連も)

  • http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html

DNS的に言えば、メールは気づかれることなく覗き見されてしまうでしょう。

キャッシュサーバへの毒盛もハイジャックにつながりますが、 これは特定キャッシュサーバを使っているひとだけに影響するものです。

今回の件はvisa.co.jp の乗っ取りなどと同様に、 コンテンツサーバを自由にしてしまうので、 当該ドメインの利用者すべてに影響が及びます。

1.6. さくらのDNSサービスの問題

発覚までのいきさつ

• 幽霊(ゾンビ)ドメイン名問題を再現しようとして、ドメイン登録を試していた。
  • 浸透いうな (浸透遅い問題) はご存知か。

さくらで起きたこと

• スーパードメインが登録できてしまう。 (4月初めに連絡。なかなか理解してもらえない。)
  • ディスク関連のトラブルで反応が鈍いらしい。対策は連休あけまで待つことにしていた。
• 6月初めに進行状況を調べていて、サブドメインが登録できてしまったのでびっくりです。
  • 対応の悪さは分かっていたので、今回はもっとインパクトのある伝え方をしなくてはと、 徳丸浩さんに協力をお願いした。(tokumaru.org がさくらDNSを利用していたこと)
• JPRSにも個人的つてで連絡した。6/22 に注意喚起がでることになる。
• さくらは利用者への通知(お詫び)を怠っている。 6/29 になってDNSについての「お知らせ」を出しただけ。
  • 重要性を認識していないと判断して、以降は積極的には協力しないこととした。

1.7. JPRS の注意喚起 (6/22)

JPRSはDNSの専門家を抱えているだけあって、技術的正確さはさくらよりはましだが、 警告対象をDNSサービス業者(だけ)とするという間違いを犯している。

今回のような話は被害を受ける可能性の大きいウェブ業者にも分かるように説明すべきであった。 今日現在もそのような告知は行われていないと考える。

1.8. 他のDNS業者はもっと危ない

さくらは指摘されたことで、多少は改善されたが、指摘しても直さない業者もある。(多い)

• Dozens のように問題ないというアナウンスをしておき、あとから訂正した業者もある。

1.9. 共用サーバの危険性

ホスティングサービス付属の共用のDNS(権威）サーバには登録時の検査が緩いものがあります。

• 無料で使えるDNSサーバはその程度のものだと思って使うべきなのでしょう。 有料のDNSサーバでも同じホストでサービスしていたりするDNSプロバイダもあります。

他社で取得したドメインでも登録できる業者があぶない。

• ドメインの所有確認をしていないからです。

1.10. ドメイン所有者が無責任

ドメイン所有者(あるいはその代理)自身のDNS管理がなっていないのが最大の問題です。

• DNSのことを理解していないウェブ業者がDNSデータを設定している。

レジストラ、あるいはドメイン再販業者の運用するDNS（権威）サーバはドメインの所有者を確認しているので、 安全なのかもしれません。（使いやすさとは別の話です。）

ドメイン所有者の責任が重要なことは確かですが、そう言い切って、ドメイン販売のおいしいところだけ をとっているのがレジストラでしょう。

1.11. セカンダリDNSサービス

セカンダリDNSサービスなども同様に危ないだろう。

• 運用にもよるが。どうやって、幽霊がひそんでいないことを確認しているのか。

信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているならいいが。

キャッシュサーバならぬ権威サーバへの毒盛が成立するかもしれない。

• 成立しないことの証明（保証）をするのは、権威サーバ提供業者の責任だと思うのだが。

1.12. まとめ

「誰がどういうゾーン(レコード)を登録しているか明らかでないような」DNS権威サーバを 自分の所有するドメインの権威サーバとして指定するなんて、危険すぎて私には理解できません。

たまたま名前解決できるように設定できたとしても、乗っ取られる危険がないという保証はない。

amazon route 53 もドメイン（ゾーン）所有確認がないようなのですが、安全なのでしょうか。 もし安全だというのであれば、その理由を知りたいものです。

1.13. JP 登録

危険な権威サーバをJPサーバに登録したまま（管理放棄）にしているドメインが見つかっています。

• これらのドメインが使われていないのなら幸いですが、....

具体的にはさくらのDNSサーバを登録しています。でも、ゾーンデータは設定されていない。

• だれがいつどんなデータを設定するかは分からない。さくら側も責任はないと主張するだろう。

1.14. おまけ

石油減耗はご存知ですか。エネルギーピークはいかがですか。 EPR は

本当に怖い話は聞きたくない。見たくないものです。その気持ちは分かります。

でも、目の前までやってきている危険から目をそらしてはいけないのです。

1.15. 資料

• DNS/危険なサービス/JPRSの注意喚起

• DNS/サービス＿さくら/お知らせ watchNS/postdns.net/さくら登録

• 崩れゆく砂山DNS

さくらインターネットのお知らせが意味するもの

• http://www.e-ontap.com/blog/20120701.html

DNS関連サービス／システムにおける危険性への緊急対策について [2012年7月3日]

• http://faq.21-domain.com/index.php?action=news&newsid=51&newslang=ja

Internet Weec 2012 DNS Day DNS/IW2012/ランチセミナー の資料(JPRS)

visa.co.jp 乗っ取りの話 http://www.e-ontap.com/summary/

対策案: DNS/サービス/同居を許さない