Microsoft PowerPoint CIAJ-Expert-Knowledge-Seminar-JPNIC-soufu.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint CIAJ-Expert-Knowledge-Seminar-JPNIC-soufu.pptx"

きみえめいこ
4 years ago
Views:

1 ご存知ですか? 他人事ではないドメイン名に関係した問題の注意喚起 CIAJ えくすぱーとのれっじセミナー 2014 年 7 月 15 日一般社団法人日本ネットワークインフォメーションセンター岡田雅之是枝祐

2 本日お話しすること JPNICのご紹介ドメイン名に関係した問題のご紹介ドメイン名構造を実装したソフトウェアの問題ドメイン名が増えることによる問題 1

3 JPNIC についてのご紹介

4 JPNIC の紹介名称一般社団法人日本ネットワークインフォメーションセンター略称 JPNIC( ジェイピーニック ) 設立年月日 1997 年 3 月 31 日 ( 社団法人として ) 所在地東京都千代田区内神田アーバンネット神田ビル4 階理事長後藤滋樹会員数 190 会員 (2014 年 7 月現在 ) 活動理念インターネットの円滑な運用のために各種の活動を通じてその基盤を支え豊かで安定したインターネット社会の実現を目指す事業概要インターネット上の番号 ( ネットワーク資源 ) の登録管理を行うレジストリ ( 登録機関 ) 業務インターネットに係わる各種の調査研究や教育啓発活動など 3

5 JPNIC が担うミッション目的コンピュータネットワークの円滑な利用のための研究及び方針策定などを通じてネットワークコミュニティの健全な発展を目指し学術研究教育及び科学技術の振興並びに情報通信及び産業の発展に資することにより我が国経済社会の発展と国民生活の向上に寄与することを目的とする ( 定款第 3 条 ) 事業前条の目的を達成するため次の事業を行う ( 定款第 4 条 ) (1) コンピュータネットワークの利用に関する情報の収集及び提供 (2) コンピュータネットワークの利用技術研究 (3) コンピュータネットワークに関する調査研究 (4) コンピュータネットワーク利用のための方針策定 (5) コンピュータネットワークの資源管理 (6) コンピュータネットワークの利用に関する教育普及啓発 (7) その他この法人の目的を達成するために必要な事業 4

JPNIC について ~ 実施事業 ~ IP アドレス事業 IPv4 アドレス IPv6 アドレス AS 番号の登録管理業務インターネットルーティングレジストリ (IRR) の運営管理 IP アドレス AS 番号登録管理のポリシーガイドラインの策定およびこれらに関する国際調整日本国内と世界の方針策定運用の調整 IP アドレス AS 番号に関する調査研究業務 IP

6 JPNIC について ~ 実施事業 ~ IP アドレス事業 IPv4 アドレス IPv6 アドレス AS 番号の登録管理業務インターネットルーティングレジストリ (IRR) の運営管理 IP アドレス AS 番号登録管理のポリシーガイドラインの策定およびこれらに関する国際調整日本国内と世界の方針策定運用の調整 IP アドレス AS 番号に関する調査研究業務 IP アドレス等のインターネット資源のレジストリ事業を行うと共にインターネットの基盤整備に関わる事業を実施インターネット基盤整備事業 Web やメールマガジン会報誌等による各種情報提供業務 Internet Week をはじめとするセミナーの開催による普及啓発業務インターネット基盤整備にかかる各種関係団体との調整連携業務インターネット基盤整備にかかる調査研究業務 JP ドメイン名の管理支援業務および公共性の担保に関する業務 5

7 基盤整備事業 (1/2) 6

8 基盤整備事業 (2/2) Internet Week 2014 インターネットの技術者に向け年 1 度開催している非営利のイベント最新技術動向を伝えるセッションを 30 以上用意している今年は2014 年 11 月 18 日 ~21 秋葉原を予定 JPNIC 技術セミナー Internet Weekに比べベーシックな技術のチュートリアルを定期的に実施 DNS ルーティング IPv6 セキュリティ等 8 月 25 日の週 10 月 6 日の週に開催予定 7

9 インターネット資源とはその登録管理組織 ( レジストリ ) の階層構造インターネット資源 =IP アドレス AS 番号ドメイン名対象となるネットワークやコンピュータをインターネット上で一意に識別するための識別子これらの名前と番号という識別子はグローバルな階層構造で管理されておりその割り当て登録を実施する機関をレジストリ ( 登録機関 ) と呼ぶ 8

10 JPNIC から IP アドレス分配を受けている組織 IP アドレス管理指定事業者 ( 約 400 組織 ) JPNIC から管理を委任されたアドレス空間からのネットワークへの分配分配後のアドレスの管理特殊用途 PI アドレスの割り当て先 ( 約 40 組織 ) マルチホーム接続などの技術的な要件を満たした組織歴史的 PI アドレスの割り当て先 ( 約 1,300 組織 ) CIDR 導入以前にクラスフルな割り当てを受けた組織 JPNIC が管理している IP アドレスリスト 9

11 インターネット資源管理の変遷 10

12 JPNIC20 年の歩み第 1 章 : 資源管理とレジストリ第 2 章 : JNIC 発足以前の資源管理から JPNICの設立まで第 3 章 : JPNICによる資源管理への本格的な体制整備第 4 章 : 本格的なインターネット時代に向けた資源管理の変遷第 5 章 : グローバルなIPアドレス管理体制の確立へ第 6 章 : ICANNによるグローバルなドメイン名管理体制第 7 章 : 汎用 JPドメイン名とJPRSの誕生第 8 章 : IPv4アドレス在庫枯渇とIPv6 第 9 章 : 課題と今後 11

13 ドメイン名に関係した問題のご紹介 ~ DNS ソフトウェアとネットワーク設定に起因する問題 ~

14 ドメイン名に関係した問題って何? 今回お話する問題ドメイン名構造を実装したソフトウェアの問題 DNSソフトウェアとネットワーク設定に起因する問題ソフトウェア設定とISPなどのネットワークACLが関係ドメイン名が増えることによる問題.com や.org などのドメイン名が 1000 以上増えるため企業等で勝手に作っていたドメインと名前がぶつかることに起因する問題 13

15 ドメイン名に関係し発生した問題 DNS サーバが踏み台となった DDoS 攻撃攻撃者のパケットが増幅されるため増幅攻撃とも SpamHouse/CloudFlare さんが被害 Cloud Flare BLOG: より 14

16 Cloud Flare さんの事例 Cloud Flare BLOG: より 15

17 日本が注目されている理由より 16

18 オープンリゾルバ問題の原因 DNS サーバに起因する問題オープンな (= 誰でも参照可能な ) リゾルバ (=DNSキャッシュサーバ) だれでも使える=DDoSの攻撃者も踏み台に ISP などネットワークに起因する問題 ACLを完全に適用していない (BCP38の不適用) 外部からのDNS 参照が可能 =DDoS 攻撃の踏み台に組織内から外の組織へDDoS 攻撃のパケットを許容二つの問題が組み合わさって対処が難しく 17

19 なぜ DDoS ツールとして有効か? 攻撃者の負担が少ない dig ANY isoc.org +edns=0 ;; ANSWER SECTION: isoc.org IN RRSIG SOA isoc.org. o9zjb0g2q5glxmgxdyna1fed0t7lkkwc+4han91sjbfh6u2szlu7psbp ZxkYEHkTTPsWwezRLTtKME+svnIFamNd/cLTModz5qWsy7csdwcXwj7f DckASMRxg4h/AQAWJTNeD+zHy8O5k68wuk3wavB31X8gHNfZ9EPqDww6 GgY= isoc.org IN SOA ns1.yyz1.afilias-nst.info. noc.afilias-nst.info isoc.org IN RRSIG NS isoc.org. CRJy6CViw6ekdCQI7HN+QW8iYJ9HlRM/4fBzJafHm07wNjG8x0tB+1Jt 3emW06EdmingSCMMSlKIYpDI0wxObAtCUC5/+T9Z50p6Q1Sqx62l2EnO ; <<>> DiG PoqbZI696OCczKAibO/wj234TdgjRN33xEA8UHkVtFJiXzVxsfA6dacQ Ubuntu <<>> ANY ihe= isoc.org +edns=0 ;; global options: isoc.org cmd IN A ;; Got answer: isoc.org IN MX 0 isoc-org.mail.protection.outlook.com. ;; ->>HEADER<<- isoc.org IN opcode: TXT "v=spf1 include:spf.protection.outlook.com QUERY, status: ip4: /32 NOERROR, ip4: /32 ip4: /32 ip4: /32 id: all" ;; flags: qr rd isoc.org. ra ad; QUERY: IN AAAA 2001:41c8:20::19 1, ANSWER: 26, AUTHORITY: 6, ADDITIONAL: 9 isoc.org IN RRSIG A isoc.org. XT/KM55glmfrBQvFDkKGxhHJkmUv+3tg0HMpio01l3N1mVusPFfGoNRz srpa89w5yr0okzzyl4lqvknmn9fmufhrq6ukv5jq2uvwrpgmvpxfvsqa pjyqlzstkcurfsauwicqpkabizh4pr6xe6mib98iseatwhpevdszzobv ztc= isoc.org IN RRSIG MX isoc.org. MF2NwgGivgdnBFAA8cfUu/P1AuYXeB56sEyNE752eBjwn2wdifV7skp0 CDg2DyR7RcKi5FJGQfD8rD6O6uzBoU1QilAwwl2TnoqkrCSXCmpEIYwX 7KFIAaYQx/sXpOV3OYRlmFhuvjatRX0XZ1/kubyUAhgnKrCF70d54zP6 auy= isoc.org IN RRSIG TXT isoc.org. MPrOuHhjsfi9YlbrGbwbPUaeMziKAPqDG6FbpyoRFrTEykimpomKcAV3 bjk5kwo2ehmyvtd60pvym0fxcfwc3a4m+llobx0ynhfuxm8xemysbn46 6BtW9d9RTgSRiM5DdYzJoT/4OZDopN7cLt1w+ErisLSduQYvMRsDv9e7 M10= isoc.org IN RRSIG AAAA isoc.org. Duo9FrthQGHLvZvoBscfwgX4AAtLt5YMx3PyCQzuVgCxIN8KWopib76a xeeoj/8p6tmtyznrlevfltczbpwqqhsg8qhnc4ftqfdgcnc/t6rhdag8 NRujM7cXhlyFbpeWc/l+aH3IE3kwPMKUaDqBXCcNM7b5KS9uv4V1kkwK VVc= isoc.org. 0 IN RRSIG NSEC3PARAM isoc.org. dmopglqrnlccnmyr3aoo+fst3+6pafeqfznvwnaamea4kf9q9yjrtm/u 8l/0Yq9rU+plvFRlJ5yaNQKYA4BNL8LG81HGqBDGPWTU1Q30Hg3e96WE WX7ujaMQz6IDY3ga1bLMoumWD48PdthEDQGm19Quv1/OUq+xFOrYRwOS T8w= isoc.org. 0 IN NSEC3PARAM DAF6A4 isoc.org IN RRSIG DNSKEY isoc.org. P35zzOJVaVKx+cy6F97ape9CusPKpGq9vtvm9dud3GWzjvrTQBp1drOx nzjbbeis7whkbr+akpsinm2ivg6gznf400fobpp1bgkd7d5vud78cdde SGldvLhT5oyizry8WaBW8MXH7mKOIr7XGj600QoFAe0PtlFkpwo+8FBJ 7CvzF0N/Ou6+dRhyF6Whdc+xBD3xblXzx4VAd1rjKaBvgZMiv2XwTtnK GCoOE3j1SBp7IBm6SlApUBZcE1T+r/eBi2C/gUmca87APFTieGjd3eav PBCkIlWcrLc9kMycZJ/GDSm5Ok8HAksNQUCKUnh97EMb7lUJkUJadI2J r2jeww== ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;isoc.org. IN ANY isoc.org IN RRSIG DNSKEY isoc.org. nkwkqhv916s1oclkgwq9sdr9e4kh/o58mkdhkmsx3kcgopw3etidmanu wnsk5x9gvsiy4c9joftnijbada381t0e5dnslwafo/vxl6rigc4eq6p8 8cknHPJoSy8Q/1LCWNQ5djZJusj3kFf51tq6ETzkFjb3aUAupvKVm2q/ m3s= isoc.org IN DNSKEY AwEAAd9JnEEjIgRN7Z8xtMcETwmdtV17frf27a9GSk9QKW3qVLI4g1VJ 8gjU6hG3CnuJk6M4Su9ba4JtQCCx5JejZwhtEeBlS1yRqvxzKrtB12wA ifjtmlfr6a0kfkg2egvksaacl00enca9vw9keqpc4rlfdldhi7k8kk0h RZsLpzJd isoc.org IN DNSKEY AwEAAcE/XrxyyTSkw3ly60jsF4gz5kvn4QM6E0plIjnnjENmeWNPZxNf BYIKZnJxf3GaoI+qFeqbSc085jOXZiBMSRMQFkfsJNZgCsyVhas3lMoM HXEcEewNCPWv2D6TCYGHiVJaTJ0+6we19hIZZlrgJxfPxOXx9CUAzltQ CCvGD055P+yexHdMNWNvcxqt+1qtVt03heIWhf6QH5lhWaIHQWMXJlky KrgVwXHZHcvUebXqhhJfGZhGGU64x7HpNP3llCRqsut7iWsMLo8yBl3m R7eo/pUc6HF3M9E7hl53fg722xMxVA60kkDZqTp1FUzOCK5AagY+ISNz mktolgpcxcs= isoc.org IN RRSIG DS org. ail94ecmfuedtklvylgadiwpvlqomnxagvzmrqkmkeqcnxkamk0zozd0 2ReNVX2amDitKZXCLsfawJy57axxPbSzQwgoPvuNdA0NmgLa1mye8Unn bvbz6y6q+fi5yksxpketko5cjsjirsyapblxmlx43wrbbi1nfa2uzeiv Awc= isoc.org IN DS AD5E47FFFFA05AE70D5166E01B7836E34AD D95DB9D1E9D7D 3AFB33D4 isoc.org IN DS B71BF480AE2C1484BB1DBA7E0A42089D90298 isoc.org IN NS ns1.mia1.afilias-nst.info. isoc.org IN NS ns1.sea1.afilias-nst.info. isoc.org IN NS ns1.ams1.afilias-nst.info. isoc.org IN NS ns1.hkg1.afilias-nst.info. isoc.org IN NS ns-ext.nlnetlabs.nl. isoc.org IN NS ns1.yyz1.afilias-nst.info. ;; AUTHORITY SECTION: isoc.org IN NS ns-ext.nlnetlabs.nl. isoc.org IN NS ns1.ams1.afilias-nst.info. isoc.org IN NS ns1.hkg1.afilias-nst.info. isoc.org IN NS ns1.yyz1.afilias-nst.info. isoc.org IN NS ns1.mia1.afilias-nst.info. isoc.org IN NS ns1.sea1.afilias-nst.info. ;; ADDITIONAL SECTION: ns1.ams1.afilias-nst.info IN A ns1.ams1.afilias-nst.info IN AAAA 2001:500:6::79 ns1.mia1.afilias-nst.info IN A ns1.mia1.afilias-nst.info IN AAAA 2a01:8840:7::1 ns1.sea1.afilias-nst.info IN A ns1.sea1.afilias-nst.info IN AAAA 2a01:8840:8::1 ns1.yyz1.afilias-nst.info IN A ns1.yyz1.afilias-nst.info IN AAAA 2a01:8840:9::1 ;; Query time: 1894 msec ;; SERVER: #53( ) ;; WHEN: Tue Jul 08 16:38:02 JST 2014 ;; MSG SIZE rcvd:

20 何故 DDoS ツールとして有効か? UDP であるため送信元詐称が容易 Cloud Flare BLOG: より 19

21 オープンリゾルバ問題対策 1 DNS の利用者を制限 DNS ソフトウェアのアクセスを絞る } allow-query { /24;

22 オープンリゾルバ問題の対策 2 ネットワーク : 自組織外から内部 DNS を遮断自組織が踏み台にならないネットワーク : 自組織内から外部 DNS を遮断自組織が攻撃を出さない 21

23 これまでの改善の取り組み国内日本 DNSオペレータズグループによる啓発 JPCERT/CCによるオープンリゾルバへの通知国外 DNS OARC(OARC:DNSの観測研究団体 ) の啓発ネットワーク組織へのBCP38の啓発 2013 年当初と比較しオープンリゾルバが減少 22

24 他の UDP サービスへ飛び火 NTP:2013 年の夏ごろ話題 DNSの対策が進んだため Attackerは別の穴を悪用機械によっては Configで指定しないとインターネット全体から許可されて動作している等 SNMP:2014 年の春ごろ話題 SNMP: ネットワーク管理用プロトコル調査によると接続パスワードが "public" のままが多 SNMPの性質上攻撃パケットの増幅率がより 23

25 今後の対策 :UDP にはご注意すでにDNSやNTPといったプロトコル単位の話ではなくなりつつある UDPのサービスはすべてターゲットネットワークフィルタを書くしかないか? BCP38 文書ネットワークの境界できちんと ACL を適用を推奨 TCP: パケット送信元を詐称すると 3-Way ハンドシェイクが失敗 UDP: コネクションレスであるため詐称した IP アドレスへ応答 24

26 まとめ DNSが関係する箱を作る際にはご注意を DNSが関係ないと思っていても Linux OpenWRT XXXBSD などはDefaultでDNSが動いていたりします UDP もご注意 NTP/SNMP サービスごとにアクセス制限パスワードを書けるそれに追加してネットワークフィルタも 25

27 参考資料確認サイト OpenResolver の解説 Cloud Flare The course of the open resolver DNS OpenResolver について考える JANOG Openresolver 注意喚起 JPNIC OpenResolver 確認サイト 26

28 ドメイン名に関係した問題のご紹介 ~ 新 gtld の大量導入とそれにより引き起こされる名前衝突のリスク ~

29 gtld の大量導入が進行中 2013 年 10 月以降 gtld (generic Top Level Domain; 分野別トップレベルドメイン ) と呼ばれるドメイン名の大量導入が始まっているそれまでは 22 cctld なども含めても 280 ほどだった TLD が 2014 年 7 月 10 日時点では gtld だけでも 331 となっている.pro.museum.edu.net.int.biz.name.xxx.mil.gov.coop.aero.com.mobi.jobs.org.info.travel.tel.cat.asia.post.wiki.camera.pro.link.menu.nyc.museum.watch.systems.photo.tokyo.int.town.beer.domains.net.audio.biz.coop.name.xxx.mil.support.campany.gov. みんな.aero.tax.host.pub.best.house. .com.paris.mobi.moe.jobs.life.org.сайт.bar.info.nagoya.travel. 商标.tel.media.cash.cat.directory.zone.ryukyu.asia. 游戏.post.bmw.nhk 28

30 大量導入の背景新 gtld の導入を進めているのはインターネット資源をグローバルに調整している ICANN (The Internet Corporation for Assigned Names and Numbers) で 1998 年の設立以来の大きな目標 2000 年に 7 つ 2005 年に 4 つ 2006 年に 2 つ 2009 年と 2011 年にそれぞれ 1 つが承認され ICANN ができるまでは 7 つだった gtld は 2013 年 9 月時点で 22 にただし 2000 年 ~2011 年までの新 gtld 追加はあくまで追加数や募集対象利用目的などに一定の制限を設けた限定的なものだった 29

31 2012 年から実施された新 gtld 導入プログラム誰でも申請でき従来のような TLD の利用目的に関する審査などはなく技術要件など定められた要件を満たしていればよい ( 準則的に承認 ) 2011 年 6 月 20 日に ICANN がプログラム実施を承認第 1 ラウンドの申請受付が 2012 年 1 月 12 日 ~4 月 12 日にかけて行われ 1,930 件の申請があった - 北米 ( 約 900) 欧州( 約 700) アジア( 約 300 うち日本は約 70) に対しアフリカや中南米は少数の申請に留まる ( それぞれ20 程度 ) [ 申請文字列の例 ] 一般名詞 :.shop.book. ファッション. ストア企業サービス名 :.goo.mcdonalds. グーグル. アマゾン地名 :.tokyo.kyoto.nyc. 深圳. 广州.شبكة 日に国際化ドメイン名が優先処理され 2013 年 10 月 23.онлайн.сайт. 游戏の四つがルート DNS に追加された 30

32 gtld の大量導入に伴って発生した問題商標権に関する問題従来のgTLDでも見られた問題導入前にも統一ドメイン名紛争処理方針 (UDRP; Uniform Domain Name Dispute Resolution Policy) という紛争処理のための仕組みが設けられていたが数が多過ぎてUDRPだけでは対応できない新たな仕組みを導入 Trademark Clearinghouse(TMCH) 商標保護のためのデータベース Uniform Rapid Suspension System(URS) ドメイン名の緊急差し止め Trademark Post-Delegation Dispute Resolution Procedure( PDDRP) レジストリによる商標侵害への対抗措置名前衝突 (Name Collision) 問題次スライド以降で詳しく解説 31

33 名前衝突 (Name Collision) とは? 企業内ネットワークなど実在しないから大丈夫として利用.corp 勝手 TLD 衝突!?.jp インターネット.com.corp 新 gtld.net.org 従来内部的に勝手に利用していたドメイン名と新 gtld として認められたドメイン名が衝突意図した相手と通信できない意図しない相手と通信してしまう 32

34 パブリック DNS から見える状況順位検索文字列件数 ( 千件単位 ) 実在するTLD 申請済未申請 1 com 8,555,898 2 net 5,037,688 3 local 2,501,349 4 org 1,099,675 5 home 1,018,998 問い合わせ上位は 6 arpa 845,996 7 localdomain 596,069 登録数数 100 万 ~1 千 8 internal 508,937 9 ru 426,826 万件強のTLDと並ぶ 10 localhost 414, cn 392, belkin 388, lan 362, uk 308, de 289, domain 275, jp 269, br 245, info 245, edu 235, au 157,392 ルートゾーンへの検索件数 22 pl 153,050 (DNS OARC - Day in the Life of 23 corp 153, nl 145,164 The Internet データ ) 25 router 140,124 33

35 名前衝突により発生するおそれがある問題発生するおそれがある問題イントラネット上のサーバにアクセスできなくなる影響の種類勝手 TLD や短縮名を利用したサービスの挙動が変わる勝手 TLD を含むドメイン名の証明書の発行利用ができなくなるサーチリスト ( ドメイン名補完 ) 利用時に他サーバへアクセスできなくなる利用不可エンドユーザが名前衝突する新 gtld にアクセスできなくなる内部サーバのつもりで外部サーバにアクセスしてしまう社内で利用しているホスト名が外部に知られてしまう情報漏えい 34

36 名前衝突の影響範囲名前衝突の影響を受ける可能性のある対象者一般企業 ISP ( 含 CATV ホスティング ) ネットワーク製品情報家電ベンダーパブリック認証局および代理店システムインテグレーターネットワークインテグレーター名前衝突の影響を受けるケース内部ネットワークで勝手 TLD を利用サーチリスト ( ドメイン名補完 ) を利用勝手 TLD を含むドメイン名証明書 (CA 発行 ) の発行利用勝手 TLD を利用したサービスを提供機器の設定用 URL などに勝手 TLD を利用 35

37 ICANN による名前衝突問題への主な対応名前衝突のリスク評価と対応のフレームワークを構築し新 gtld プログラムに適用.home.corp の新 gtld としての追加を取りやめ.mail も追加取りやめの検討対象申請された新 gtld ごとに名前衝突のおそれを調査しリストの提示および対策の提案を実施名前衝突発生時の報告窓口を設置 IT 専門家向けのガイドブックを作成公開 pdf ( 株式会社日本レジストリサービスによる日本語訳 ) 主に電子認証事業者およびブラウザベンダーから構成される CA/Browser Forumと連携して検討を実施 36

38 日本国内における検討名前衝突問題は新 gtld の申請者だけでなく企業や一般ユーザなど広範囲に影響が及ぶおそれがある一方この問題が十分認知されているとは言えず実際にどのぐらい影響が及ぶのかも未知数新 gtld の大量導入により発生が懸念されるリスクとその対策を検討し対応が必要な関係者に向けた提言をまとめることを目的に新 gtld 大量導入に伴うリスク検討対策提言専門家チームを JPNIC 内に組成検討を実施提言を取りまとめた報告書を JPNIC Web にて公開次ページ以降で想定される主なケースを紹介 37

39 想定ケース 1: イントラネットで勝手 TLD を利用内部サービスにアクセスできなくなる内部サービスのつもりが外部にアクセスしてしまう名前衝突する新 gtld にアクセスできなくなる新 gtld 追加前新 gtld 追加後インターネットインターネット新 gtld 情報漏えい企業内イントラネット Web メールファイルサーバー.corp 勝手 TLD 企業内イントラネット Web メールファイルサーバー.corp 勝手 TLD 利用不可ユーザユーザユーザユーザ 38

想定ケース 2: サーチリストを利用サーチリストでの補完を前提に短縮名を利用していた場合名前衝突が起こると意図とは異なる動作となってしまう新 gtld 追加前新 gtld 追加後 hostname.tky.co.jp を運用しサーチリストを利用しているケース 21 回目の名前解決要求 hostname.

40 想定ケース 2: サーチリストを利用サーチリストでの補完を前提に短縮名を利用していた場合名前衝突が起こると意図とは異なる動作となってしまう新 gtld 追加前新 gtld 追加後 hostname.tky.co.jp を運用しサーチリストを利用しているケース 21 回目の名前解決要求 hostname.tky 存在しない (NXDOMAIN) 1http://hostname/ とブラウザに入力 32 回目の名前解決要求 hostname.tky.co.jp が回答ユーザ DNS サーバサーチリストを設定.tky.tky.co.jp.tky 新 gtld 21 回目の名前解決要求 hostname.tky が回答 1http://hostname/ とブラウザに入力ユーザ!? DNS サーバ意図しない動作サーチリストを設定.tky.tky.co.jp 39

想定ケース 3: 勝手 TLD を含む証明書を利用 CA から勝手 TLD を含む証明書の発行を受けていた場合今後は利用できなくなる - 2015 年 10 月 1 日以降は勝手 TLD を含む証明書の発行は完全に出来なくなる ( 更新も不可 ) - 新 gtld と同一の勝手 TLD を含む証明書は新 gtld レジストリの契約公開から 30 日以内に発行停止 120

41 想定ケース 3: 勝手 TLD を含む証明書を利用 CA から勝手 TLD を含む証明書の発行を受けていた場合今後は利用できなくなる年 10 月 1 日以降は勝手 TLD を含む証明書の発行は完全に出来なくなる ( 更新も不可 ) - 新 gtld と同一の勝手 TLD を含む証明書は新 gtld レジストリの契約公開から 30 日以内に発行停止 120 日以内に発行済みの証明書も失効新 gtld 追加前新 gtld 追加後 CA インターネット CA インターネット corp 勝手 TLD 勝手 TLD 向け証明書の発行停止失効 corp 勝手 TLD 企業内イントラネット証明書 Web サーバ企業内イントラネット証明書 Web サーバ SSL でのセキュアな通信ユーザセキュアな通信の利用不可ユーザ 40

42 想定ケース 4: ISP などで勝手 TLD を用いたサービスを提供勝手 TLD の利用を前提としていたサービスが利用できなくなる - ユーザ向け Web サイトなどにアクセスできなくなる - メールサーバなどへアクセスできなくなるユーザが新 gtld にアクセスできなくなる新 gtld 追加前新 gtld 追加後インターネットインターネット.corp 新 gtld 意図しない動作利用不可 ISP ISP 提供サービス ISP ISP 提供サービスユーザ.corp 勝手 TLD ユーザ.corp 勝手 TLD 41

set-up 勝手 TLD ユーザ ISP ブロードバンドルータ http://www.

43 想定ケース 5: 機器設定等に勝手 TLD を利用ユーザが設定画面等にアクセスできなくなる意図しない Web サイトにユーザが誘導される新 gtld 追加前新 gtld 追加後インターネットインターネット.set-up 新 gtld.set-up 勝手 TLD ユーザ ISP ブロードバンドルータルータ設定画面 ID admin password ***** ルータ設定画面.set-up 勝手 TLD ユーザ ISP ブロードバンドルータ情報漏洩マルウェアルータ設定画面 ID password admin ***** ルータ設定画面に似せたサイト 42

44 その他 : セカンドレベルにおける名前衝突前述のICANNによる名前衝突のリスク評価と対応のフレームワークによりセカンドレベルにおいても衝突の可能性が高い文字列は登録がブロックされることになったブロックリストに含まれる文字列は他の予約語などと同様にセカンドレベルとしても登録ができないリストの内容はTLDごとに異なる example.corp を登録したい! 登録不可.corp 新 gtld tokyo icann jp com shop list example corp.. 43

45 名前衝突問題への対策勝手 TLD の利用をやめるパブリックな名前空間のドメイン名を利用する例 : 勝手 TLD を利用した証明書からパブリックな名前空間のドメイン名を利用した証明書の利用へ切り替えるサーチリストの利用をやめるいずれの場合もシステム構成やサービスの変更にあたっては十分な検討と準備期間が必要 44

46 今後気を付けた方がいいこと新しくシステムやサービスを構築する際には実際に新しくドメイン名を登録してそれを利用する自社で利用しているドメイン名の下にサブドメイン作りそれを利用するユーザー向け設定画面などへのアクセスには IPアドレスや設定用アプリケーションを用いるなどといった方法を用い勝手 TLD を使わない! 問題が起こってしまってから対応しようとすると遙かに多くの時間とコストがかかります 45

47 名前衝突問題の周知のお願い名前衝突問題は影響範囲が広く思ってもいないところに影響が及ぶ可能性があるその割に影響を受ける可能性があるすべての人々に本問題が認知されているとは言いがたい対策には時間やコストがかかるものもあるためできるだけ早くできるだけ多くの人に知らせたい JPNIC や関係者だけの力では周知にも限界がありみなさまの周りでこの問題を知らない人がいたらぜひ伝えていただきたい 46

48 本件に関するご意見お問い合わせ名前衝突問題に関するご意見お問い合わせは JPNIC 事務局ドメイン名関連問い合わせ窓口までぜひお知らせした方が良いと思われる周知先がありましたらその情報も募集しています本件に限らずドメイン名に関するお問い合わせ全般もお受けしています JPNIC 事務局ドメイン名関連問い合わせ窓口 47

49 参考リンク JPNIC Web の名前衝突に関する情報名前衝突 (Name Collision) 問題をまとめた Web ページ対象者別の解説資料を掲載本問題に関する各種情報を取りまとめ報告書新 gtld 大量導入に伴う名前衝突 (Name Collision) 問題とその対策について報告書概要版トップレベルドメイン名の大量導入に伴うリスク検討対策提言の報告書発表について 48

50 参考リンク ICANN Web の名前衝突に関する情報 Name Collision に関するリソースと情報 Name Collision に関する FAQ Name Collision 発生への対応案 oct13-en.pdf IT 専門家向けの Name Collision に関するアドバイス 05dec13-en.pdf IT 専門家のための名前衝突の確認および抑止方法ガイド (JPRSによる日本語訳 ) 49

51 参考リンク Name Collision 発生時の報告先 SSAC 文書 (SAC ) en ICANN Web の新 gtld に関する情報新 gtld 申請文字列一覧新 gtld 委任文字列一覧レジストリ契約公開ページ 50

新 gtld の大量追加これまで.com,.net,.org,.biz,.info, 2013 年 ~.xyz,.berlin,.club,.guru,.photography,. ,.xn--3ds443g,.link,.today,.tips,.company,.solutions,.

新 gtld の大量追加これまで.com,.net,.org,.biz,.info, 2013 年 ~.xyz,.berlin,.club,.guru,.photography,. ,.xn--3ds443g,.link,.today,.tips,.company,.solutions,. 名前衝突 (Name Collision) JPNIC 小山祐司新 gtld の大量追加これまで.com,.net,.org,.biz,.info, 2013 年 ~.xyz,.berlin,.club,.guru,.photography,.email,.xn--3ds443g,.link,.today,.tips,.company,.solutions,.center,.technology,.directory,.expert,.xn--fiq228c5hs,.sexy,.photos,.land,...