1. DNS/脅威/共用ゾーンサービス/JPRS
Contents
前野がさくらのサービスで気づいたものだが、そのことについてはまったく触れられていない。
- 徳丸さんのblogについても言及なし。
1.1. 最初の警告
http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html
- サービス運用上の問題に起因するドメイン名ハイジャックの危険性について
(タイトルがおかしい)
-- ToshinoriMaeno 2017-12-13 01:41:54
「ドメイン名ハイジャック」及び「DNSポイズニング」の危険性に関する一連の注意喚起について +緊急対策のお願い 2012年7月4日
https://jprs.jp/tech/security/2012-07-04-risk-of-shared-dns.pdf
要点は「誰でも何でも登録できるゾーンサービスがほとんどなので、気をつけようにも気をつけられない」ということです。
JPRSとしては、そうは言えないから、苦労している。
- でも、5年過ぎてもまともな説明はされていない。
-- ToshinoriMaeno 2017-12-15 00:32:13
1.2. 実装の欠陥と運用の不備
親子関係にあるゾーンが同一のゾーンサーバーによってサービスされているときに、
- 返答方法がRFCによって規定されていないことに起因した実装の問題である。
この問題を回避するのには、運用によって登録できるゾーンを制限する必要がある。
その制限を行っていなかったのが、さくらのサービスだった。
-- ToshinoriMaeno 2017-12-14 09:51:26
1.3. 2012/12
親の心子知らず? 委任にまつわる諸問題について考える Internet Week 2012
https://jprs.jp/tech/material/iw2012-lunch-L3-01.pdf
- ここではゾーンが存在しない場合について、触れている。 (一般には警告されなかった。)
-- ToshinoriMaeno 2019-04-05 15:43:44