同一権威DNSサーバに複数の利用者のゾーンが共存している場合に注意

DNSサービス、運用によってはドメインハイジャックの恐れ

2012/06/22

 日本レジストリサービス(JPRS)は6月22日、「サービス運用上の問題に起因するドメイン名ハイジャックの危険性について」と題する文書を公開し、悪意を持つ第三者によってサブドメインがハイジャックされる危険性について注意喚起を行った。特に、DNSサービスを提供している事業者には、状況の確認と対応が望まれるという。

 このハイジャック問題は、レンタルサーバサービスやクラウドサービスなどを展開している事業者が提供するDNSサービスにおいて、複数の利用者のドメイン名(ゾーン)を、同一の権威DNSサーバに共存させる形で運用している場合に発生する恐れがある。

 DNSの仕組みでは、親ゾーンからの委任情報に基づいて正当性が保証される。権威DNSサーバに任意のゾーンを設定したとしても、それが親ゾーンから委任されていない権威DNSサーバであれば、通常の名前検索で参照されることはない。

 しかし前記のように、同一の権威DNSサーバ(同一IPアドレス)に、複数の利用者のゾーンを共存させる形でDNSサービスを運用しており、しかも利用者自身によるゾーンの新規作成を許可している場合、ドメイン名がハイジャックされる危険性がある。この結果、本来のドメイン所有者以外の第三者が勝手にサブドメインを乗っ取ったり、それを悪用して不正なサーバにユーザーを誘導したり、成りすましメールの発信などに使われる恐れがある。

 対策は、ゾーン(ドメイン名)のサブドメインや上位ドメインを別の利用者が作成する際には、権威DNSサーバを同一のサーバではなく、別サーバ(別IPアドレス)とするよう運用方法を変更すること。また、別の利用者が設定済みゾーンのサブドメインや上位ドメインを作成する際には何らかの制限を設けることでも、リスクを軽減できるという。

 セキュリティ専門家の徳丸浩氏は、自身のブログにおいて、さくらインターネットのDNSサービスにこの脆弱性が存在していたことを指摘。実験によって脆弱性悪用の流れを説明するとともに、さくらインターネットが6月13日に改修したことを報告している。

(@IT 高橋睦美)

情報をお寄せください:

Master of IP Network フォーラム 新着記事

キャリアアップ

- PR -

注目のテーマ

- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

「平成ジャンプ世代」の男女共に約8割は結婚意向あり――Pairsエンゲージ パーソナル婚活研究所調べ
「平成ジャンプ世代」とは、未婚のまま平成の30年間を飛び越えて令和を迎えた昭和生まれ...

F1層(20〜34歳女性)に聞く「タピオカドリンクを飲む理由」――ミュゼマーケティング調べ
タピオカドリンクを購入する理由などを、20〜34歳女性1764人にリサーチしています。

「GAFA」を脅威と言う前に正しく理解する――オプトホールディング鉢嶺 登氏インタビュー
『GAFAに克つデジタルシフト』(日本経済新聞出版社)を上梓したオプトホールディング代...