同一権威DNSサーバに複数の利用者のゾーンが共存している場合に注意

DNSサービス、運用によってはドメインハイジャックの恐れ

2012/06/22

 日本レジストリサービス(JPRS)は6月22日、「サービス運用上の問題に起因するドメイン名ハイジャックの危険性について」と題する文書を公開し、悪意を持つ第三者によってサブドメインがハイジャックされる危険性について注意喚起を行った。特に、DNSサービスを提供している事業者には、状況の確認と対応が望まれるという。

 このハイジャック問題は、レンタルサーバサービスやクラウドサービスなどを展開している事業者が提供するDNSサービスにおいて、複数の利用者のドメイン名(ゾーン)を、同一の権威DNSサーバに共存させる形で運用している場合に発生する恐れがある。

 DNSの仕組みでは、親ゾーンからの委任情報に基づいて正当性が保証される。権威DNSサーバに任意のゾーンを設定したとしても、それが親ゾーンから委任されていない権威DNSサーバであれば、通常の名前検索で参照されることはない。

 しかし前記のように、同一の権威DNSサーバ(同一IPアドレス)に、複数の利用者のゾーンを共存させる形でDNSサービスを運用しており、しかも利用者自身によるゾーンの新規作成を許可している場合、ドメイン名がハイジャックされる危険性がある。この結果、本来のドメイン所有者以外の第三者が勝手にサブドメインを乗っ取ったり、それを悪用して不正なサーバにユーザーを誘導したり、成りすましメールの発信などに使われる恐れがある。

 対策は、ゾーン(ドメイン名)のサブドメインや上位ドメインを別の利用者が作成する際には、権威DNSサーバを同一のサーバではなく、別サーバ(別IPアドレス)とするよう運用方法を変更すること。また、別の利用者が設定済みゾーンのサブドメインや上位ドメインを作成する際には何らかの制限を設けることでも、リスクを軽減できるという。

 セキュリティ専門家の徳丸浩氏は、自身のブログにおいて、さくらインターネットのDNSサービスにこの脆弱性が存在していたことを指摘。実験によって脆弱性悪用の流れを説明するとともに、さくらインターネットが6月13日に改修したことを報告している。

(@IT 高橋睦美)

情報をお寄せください:

Master of IP Network フォーラム 新着記事

キャリアアップ

- PR -

注目のテーマ

- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

ARで小売業との連携を強化、ショッピングにより強いSNSに――2024年のSNS大予測(Pinterest編)
2024年のPinterestのテーマはIRL(In Real Life:現実世界)との接続となるだろう。

データ分析系ニュースまとめ(2023年12月第1週)
今週は、SEO対策の内製化を支援するアシストの新サービスなど3つのニュースを取り上げる。

ディズニーなど主要広告主に暴言 イーロン・マスク氏はなぜX離れが加速しても煽りをやめないのか?
New York Timesが主催するイベントの壇上でイーロン・マスク氏は、彼の投稿がきっかけと...