同一権威DNSサーバに複数の利用者のゾーンが共存している場合に注意

DNSサービス、運用によってはドメインハイジャックの恐れ

2012/06/22

 日本レジストリサービス(JPRS)は6月22日、「サービス運用上の問題に起因するドメイン名ハイジャックの危険性について」と題する文書を公開し、悪意を持つ第三者によってサブドメインがハイジャックされる危険性について注意喚起を行った。特に、DNSサービスを提供している事業者には、状況の確認と対応が望まれるという。

 このハイジャック問題は、レンタルサーバサービスやクラウドサービスなどを展開している事業者が提供するDNSサービスにおいて、複数の利用者のドメイン名(ゾーン)を、同一の権威DNSサーバに共存させる形で運用している場合に発生する恐れがある。

 DNSの仕組みでは、親ゾーンからの委任情報に基づいて正当性が保証される。権威DNSサーバに任意のゾーンを設定したとしても、それが親ゾーンから委任されていない権威DNSサーバであれば、通常の名前検索で参照されることはない。

 しかし前記のように、同一の権威DNSサーバ(同一IPアドレス)に、複数の利用者のゾーンを共存させる形でDNSサービスを運用しており、しかも利用者自身によるゾーンの新規作成を許可している場合、ドメイン名がハイジャックされる危険性がある。この結果、本来のドメイン所有者以外の第三者が勝手にサブドメインを乗っ取ったり、それを悪用して不正なサーバにユーザーを誘導したり、成りすましメールの発信などに使われる恐れがある。

 対策は、ゾーン(ドメイン名)のサブドメインや上位ドメインを別の利用者が作成する際には、権威DNSサーバを同一のサーバではなく、別サーバ(別IPアドレス)とするよう運用方法を変更すること。また、別の利用者が設定済みゾーンのサブドメインや上位ドメインを作成する際には何らかの制限を設けることでも、リスクを軽減できるという。

 セキュリティ専門家の徳丸浩氏は、自身のブログにおいて、さくらインターネットのDNSサービスにこの脆弱性が存在していたことを指摘。実験によって脆弱性悪用の流れを説明するとともに、さくらインターネットが6月13日に改修したことを報告している。

(@IT 高橋睦美)

情報をお寄せください:

Master of IP Network フォーラム 新着記事

キャリアアップ

- PR -

注目のテーマ

- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

最も信頼できる情報源は「自分の勤務先」――2021 エデルマン・トラストバロメーター
「信頼」に関するグローバル年次調査の結果です。

ライフネット生命が13年間で培ったオンライン専業ならではの「顔が見える接客」とは?
既存のビジネスがデジタルを起点としたものに生まれ変わる上では、カスタマージャーニー...

「Salesforce Customer 360」を強化するMuleSoftの役割とは?
MuleSoftが日本市場での事業拡大ため、組織体制の強化、Salesforceとのシナジー最大化、...