NewsInsight

同一権威DNSサーバに複数の利用者のゾーンが共存している場合に注意

DNSサービス、運用によってはドメインハイジャックの恐れ

2012/06/22

　日本レジストリサービス（JPRS）は6月22日、「サービス運用上の問題に起因するドメイン名ハイジャックの危険性について」と題する文書を公開し、悪意を持つ第三者によってサブドメインがハイジャックされる危険性について注意喚起を行った。特に、DNSサービスを提供している事業者には、状況の確認と対応が望まれるという。

　このハイジャック問題は、レンタルサーバサービスやクラウドサービスなどを展開している事業者が提供するDNSサービスにおいて、複数の利用者のドメイン名（ゾーン）を、同一の権威DNSサーバに共存させる形で運用している場合に発生する恐れがある。

　DNSの仕組みでは、親ゾーンからの委任情報に基づいて正当性が保証される。権威DNSサーバに任意のゾーンを設定したとしても、それが親ゾーンから委任されていない権威DNSサーバであれば、通常の名前検索で参照されることはない。

　しかし前記のように、同一の権威DNSサーバ（同一IPアドレス）に、複数の利用者のゾーンを共存させる形でDNSサービスを運用しており、しかも利用者自身によるゾーンの新規作成を許可している場合、ドメイン名がハイジャックされる危険性がある。この結果、本来のドメイン所有者以外の第三者が勝手にサブドメインを乗っ取ったり、それを悪用して不正なサーバにユーザーを誘導したり、成りすましメールの発信などに使われる恐れがある。

　対策は、ゾーン（ドメイン名）のサブドメインや上位ドメインを別の利用者が作成する際には、権威DNSサーバを同一のサーバではなく、別サーバ（別IPアドレス）とするよう運用方法を変更すること。また、別の利用者が設定済みゾーンのサブドメインや上位ドメインを作成する際には何らかの制限を設けることでも、リスクを軽減できるという。

　セキュリティ専門家の徳丸浩氏は、自身のブログにおいて、さくらインターネットのDNSサービスにこの脆弱性が存在していたことを指摘。実験によって脆弱性悪用の流れを説明するとともに、さくらインターネットが6月13日に改修したことを報告している。