ご存知ですか? 他人事ではないドメイン名に 関係した問題の注意喚起 CIAJ えくすぱーと のれっじ セミナー 2014 年 7 月 15 日一般社団法人日本ネットワークインフォメーションセンター岡田雅之是枝祐
本日お話しすること JPNICのご紹介 ドメイン名に関係した問題のご紹介 ドメイン名構造を実装したソフトウェアの問題 ドメイン名が増えることによる問題 1
JPNIC についてのご紹介
JPNIC の紹介 名称 一般社団法人日本ネットワークインフォメーションセンター略称 JPNIC( ジェイピーニック ) 設立年月日 1997 年 3 月 31 日 ( 社団法人として ) 所在地 東京都千代田区内神田 3-6-2 アーバンネット神田ビル4 階 理事長 後藤滋樹 会員数 190 会員 (2014 年 7 月現在 ) 活動理念 インターネットの円滑な運用のために各種の活動を通じて その基盤を支え 豊かで安定したインターネット社会の 実現を目指す 事業概要 インターネット上の番号 ( ネットワーク資源 ) の登録管理を行うレジストリ ( 登録機関 ) 業務 インターネットに係わる各種の調査 研究や教育 啓発活動など 3
JPNIC が担うミッション 目的 コンピュータネットワークの円滑な利用のための研究及び方針策定などを通じて ネットワークコミュニティの健全な発展を目指し 学術研究 教育及び科学技術の振興 並びに情報通信及び産業の発展に資することにより 我が国経済社会の発展と国民生活の向上に寄与することを目的とする ( 定款第 3 条 ) 事業前条の目的を達成するため 次の事業を行う ( 定款第 4 条 ) (1) コンピュータネットワークの利用に関する情報の収集及び提供 (2) コンピュータネットワークの利用技術研究 (3) コンピュータネットワークに関する調査研究 (4) コンピュータネットワーク利用のための方針策定 (5) コンピュータネットワークの資源管理 (6) コンピュータネットワークの利用に関する教育 普及啓発 (7) その他この法人の目的を達成するために必要な事業 4
JPNIC について ~ 実施事業 ~ IP アドレス事業 IPv4 アドレス IPv6 アドレス AS 番号の登録管理業務インターネットルーティングレジストリ (IRR) の運営管理 IP アドレス AS 番号登録管理のポリシー ガイドラインの策定および これらに関する国際調整日本国内と世界の方針策定 運用の調整 IP アドレス AS 番号に関する調査 研究業務 IP アドレス等のインターネット資源のレジストリ事業を行うと共に インターネットの基盤整備に関わる事業を実施 インターネット基盤整備事業 Web やメールマガジン 会報誌等による各種情報提供業務 Internet Week をはじめとするセミナーの開催による普及 啓発業務インターネット基盤整備にかかる各種関係団体との調整 連携業務インターネット基盤整備にかかる調査 研究業務 JP ドメイン名の管理支援業務および公共性の担保に関する業務 5
基盤整備事業 (1/2) 6
基盤整備事業 (2/2) Internet Week 2014 インターネットの技術者に向け 年 1 度開催している非営利のイベント 最新技術動向を伝えるセッションを 30 以上用意している今年は2014 年 11 月 18 日 ~21 日 @ 秋葉原を予定 https://internetweek.jp/ JPNIC 技術セミナー Internet Weekに比べ ベーシックな技術のチュートリアルを定期的に実施 DNS ルーティング IPv6 セキュリティ等 8 月 25 日の週 10 月 6 日の週に開催予定 https://www.nic.ad.jp/ja/topics/2014/20140422-03.html 7
インターネット資源とはその登録管理組織 ( レジストリ ) の階層構造 インターネット資源 =IP アドレス AS 番号 ドメイン名 対象となるネットワークやコンピュータを インターネット上で一意に識別するための識別子 これらの 名前 と 番号 という識別子は グローバルな階層構造で管理されており その割り当て 登録を実施する機関を レジストリ ( 登録機関 ) と呼ぶ 8
JPNIC から IP アドレス分配を受けている組織 IP アドレス管理指定事業者 ( 約 400 組織 ) JPNIC から管理を委任されたアドレス空間からのネットワークへの分配 分配後のアドレスの管理 特殊用途 PI アドレスの割り当て先 ( 約 40 組織 ) マルチホーム接続などの技術的な要件を満たした組織 歴史的 PI アドレスの割り当て先 ( 約 1,300 組織 ) CIDR 導入以前にクラスフルな割り当てを受けた組織 JPNIC が管理している IP アドレスリスト https://www.nic.ad.jp/ja/ip/list.html 9
インターネット資源管理の変遷 10
JPNIC20 年の歩み 第 1 章 : 資源管理とレジストリ第 2 章 : JNIC 発足以前の資源管理から JPNICの設立まで第 3 章 : JPNICによる資源管理への本格的な体制整備第 4 章 : 本格的なインターネット時代に向けた資源管理の変遷第 5 章 : グローバルなIPアドレス管理体制の確立へ第 6 章 : ICANNによるグローバルなドメイン名管理体制第 7 章 : 汎用 JPドメイン名とJPRSの誕生第 8 章 : IPv4アドレス在庫枯渇とIPv6 第 9 章 : 課題と今後 11
ドメイン名に関係した問題のご紹介 ~ DNS ソフトウェアとネットワーク設定に 起因する問題 ~
ドメイン名に関係した問題って何? 今回お話する問題 ドメイン名構造を実装したソフトウェアの問題 DNSソフトウェアとネットワーク設定に起因する問題 ソフトウェア設定とISPなどのネットワークACLが関係 ドメイン名が増えることによる問題.com や.org などのドメイン名が 1000 以上増えるため 企業等で 勝手 に作っていたドメインと名前がぶつかることに起因する問題 13
ドメイン名に関係し発生した問題 DNS サーバが踏み台となった DDoS 攻撃 攻撃者のパケットが増幅されるため増幅攻撃とも SpamHouse/CloudFlare さんが被害 Cloud Flare BLOG:http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet より 14
Cloud Flare さんの事例 Cloud Flare BLOG:http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet より 15
日本が注目されている理由 https://www.apricot.net/apricot2013/assets/tom-paseka_1361839564.pdf より 16
オープンリゾルバ問題の原因 DNS サーバに起因する問題 オープンな (= 誰でも参照可能な ) リゾルバ (=DNSキャッシュサーバ) だれでも使える=DDoSの攻撃者も踏み台に ISP などネットワークに起因する問題 ACLを完全に適用していない (BCP38の不適用) 外部からのDNS 参照が可能 =DDoS 攻撃の踏み台に組織内から外の組織へDDoS 攻撃のパケットを許容 二つの問題が組み合わさって対処が難しく 17
なぜ DDoS ツールとして有効か? 攻撃者の負担が少ない masa@ubuntu:~$ dig ANY isoc.org +edns=0 ;; ANSWER SECTION: isoc.org. 86400 IN RRSIG SOA 7 2 86400 20140721085000 20140707085000 54002 isoc.org. o9zjb0g2q5glxmgxdyna1fed0t7lkkwc+4han91sjbfh6u2szlu7psbp ZxkYEHkTTPsWwezRLTtKME+svnIFamNd/cLTModz5qWsy7csdwcXwj7f DckASMRxg4h/AQAWJTNeD+zHy8O5k68wuk3wavB31X8gHNfZ9EPqDww6 GgY= isoc.org. 86400 IN SOA ns1.yyz1.afilias-nst.info. noc.afilias-nst.info. 2014070701 3600 1200 1209600 3600 isoc.org. 86400 IN RRSIG NS 7 2 86400 20140721085000 20140707085000 54002 isoc.org. CRJy6CViw6ekdCQI7HN+QW8iYJ9HlRM/4fBzJafHm07wNjG8x0tB+1Jt 3emW06EdmingSCMMSlKIYpDI0wxObAtCUC5/+T9Z50p6Q1Sqx62l2EnO ; <<>> DiG PoqbZI696OCczKAibO/wj234TdgjRN33xEA8UHkVtFJiXzVxsfA6dacQ 9.9.5-3-Ubuntu <<>> ANY ihe= isoc.org +edns=0 ;; global options: isoc.org. 86400 +cmd IN A 212.110.167.157 ;; Got answer: isoc.org. 3600 IN MX 0 isoc-org.mail.protection.outlook.com. ;; ->>HEADER<<- isoc.org. 3600 IN opcode: TXT "v=spf1 include:spf.protection.outlook.com QUERY, status: ip4:46.43.37.6/32 NOERROR, ip4:46.43.37.7/32 ip4:46.43.37.8/32 ip4:46.43.36.212/32 id: 11962 -all" ;; flags: qr rd isoc.org. ra ad; 86400 QUERY: IN AAAA 2001:41c8:20::19 1, ANSWER: 26, AUTHORITY: 6, ADDITIONAL: 9 isoc.org. 86400 IN RRSIG A 7 2 86400 20140721085000 20140707085000 54002 isoc.org. XT/KM55glmfrBQvFDkKGxhHJkmUv+3tg0HMpio01l3N1mVusPFfGoNRz srpa89w5yr0okzzyl4lqvknmn9fmufhrq6ukv5jq2uvwrpgmvpxfvsqa pjyqlzstkcurfsauwicqpkabizh4pr6xe6mib98iseatwhpevdszzobv ztc= isoc.org. 3600 IN RRSIG MX 7 2 3600 20140721085000 20140707085000 54002 isoc.org. MF2NwgGivgdnBFAA8cfUu/P1AuYXeB56sEyNE752eBjwn2wdifV7skp0 CDg2DyR7RcKi5FJGQfD8rD6O6uzBoU1QilAwwl2TnoqkrCSXCmpEIYwX 7KFIAaYQx/sXpOV3OYRlmFhuvjatRX0XZ1/kubyUAhgnKrCF70d54zP6 auy= isoc.org. 3600 IN RRSIG TXT 7 2 3600 20140721085000 20140707085000 54002 isoc.org. MPrOuHhjsfi9YlbrGbwbPUaeMziKAPqDG6FbpyoRFrTEykimpomKcAV3 bjk5kwo2ehmyvtd60pvym0fxcfwc3a4m+llobx0ynhfuxm8xemysbn46 6BtW9d9RTgSRiM5DdYzJoT/4OZDopN7cLt1w+ErisLSduQYvMRsDv9e7 M10= isoc.org. 86400 IN RRSIG AAAA 7 2 86400 20140721085000 20140707085000 54002 isoc.org. Duo9FrthQGHLvZvoBscfwgX4AAtLt5YMx3PyCQzuVgCxIN8KWopib76a xeeoj/8p6tmtyznrlevfltczbpwqqhsg8qhnc4ftqfdgcnc/t6rhdag8 NRujM7cXhlyFbpeWc/l+aH3IE3kwPMKUaDqBXCcNM7b5KS9uv4V1kkwK VVc= isoc.org. 0 IN RRSIG NSEC3PARAM 7 2 0 20140721085000 20140707085000 54002 isoc.org. dmopglqrnlccnmyr3aoo+fst3+6pafeqfznvwnaamea4kf9q9yjrtm/u 8l/0Yq9rU+plvFRlJ5yaNQKYA4BNL8LG81HGqBDGPWTU1Q30Hg3e96WE WX7ujaMQz6IDY3ga1bLMoumWD48PdthEDQGm19Quv1/OUq+xFOrYRwOS T8w= isoc.org. 0 IN NSEC3PARAM 1 0 10 DAF6A4 isoc.org. 14400 IN RRSIG DNSKEY 7 2 14400 20140721085000 20140707085000 3330 isoc.org. P35zzOJVaVKx+cy6F97ape9CusPKpGq9vtvm9dud3GWzjvrTQBp1drOx nzjbbeis7whkbr+akpsinm2ivg6gznf400fobpp1bgkd7d5vud78cdde SGldvLhT5oyizry8WaBW8MXH7mKOIr7XGj600QoFAe0PtlFkpwo+8FBJ 7CvzF0N/Ou6+dRhyF6Whdc+xBD3xblXzx4VAd1rjKaBvgZMiv2XwTtnK GCoOE3j1SBp7IBm6SlApUBZcE1T+r/eBi2C/gUmca87APFTieGjd3eav PBCkIlWcrLc9kMycZJ/GDSm5Ok8HAksNQUCKUnh97EMb7lUJkUJadI2J r2jeww== ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;isoc.org. IN ANY isoc.org. 14400 IN RRSIG DNSKEY 7 2 14400 20140721085000 20140707085000 54002 isoc.org. nkwkqhv916s1oclkgwq9sdr9e4kh/o58mkdhkmsx3kcgopw3etidmanu wnsk5x9gvsiy4c9joftnijbada381t0e5dnslwafo/vxl6rigc4eq6p8 8cknHPJoSy8Q/1LCWNQ5djZJusj3kFf51tq6ETzkFjb3aUAupvKVm2q/ m3s= isoc.org. 14400 IN DNSKEY 256 3 7 AwEAAd9JnEEjIgRN7Z8xtMcETwmdtV17frf27a9GSk9QKW3qVLI4g1VJ 8gjU6hG3CnuJk6M4Su9ba4JtQCCx5JejZwhtEeBlS1yRqvxzKrtB12wA ifjtmlfr6a0kfkg2egvksaacl00enca9vw9keqpc4rlfdldhi7k8kk0h RZsLpzJd isoc.org. 14400 IN DNSKEY 257 3 7 AwEAAcE/XrxyyTSkw3ly60jsF4gz5kvn4QM6E0plIjnnjENmeWNPZxNf BYIKZnJxf3GaoI+qFeqbSc085jOXZiBMSRMQFkfsJNZgCsyVhas3lMoM HXEcEewNCPWv2D6TCYGHiVJaTJ0+6we19hIZZlrgJxfPxOXx9CUAzltQ CCvGD055P+yexHdMNWNvcxqt+1qtVt03heIWhf6QH5lhWaIHQWMXJlky KrgVwXHZHcvUebXqhhJfGZhGGU64x7HpNP3llCRqsut7iWsMLo8yBl3m R7eo/pUc6HF3M9E7hl53fg722xMxVA60kkDZqTp1FUzOCK5AagY+ISNz mktolgpcxcs= isoc.org. 86400 IN RRSIG DS 7 2 86400 20140722155512 20140701145512 21185 org. ail94ecmfuedtklvylgadiwpvlqomnxagvzmrqkmkeqcnxkamk0zozd0 2ReNVX2amDitKZXCLsfawJy57axxPbSzQwgoPvuNdA0NmgLa1mye8Unn bvbz6y6q+fi5yksxpketko5cjsjirsyapblxmlx43wrbbi1nfa2uzeiv Awc= isoc.org. 86400 IN DS 3330 7 2 7AD5E47FFFFA05AE70D5166E01B7836E34AD3032541D95DB9D1E9D7D 3AFB33D4 isoc.org. 86400 IN DS 3330 7 1 268B71BF480AE2C1484BB1DBA7E0A42089D90298 isoc.org. 86399 IN NS ns1.mia1.afilias-nst.info. isoc.org. 86399 IN NS ns1.sea1.afilias-nst.info. isoc.org. 86399 IN NS ns1.ams1.afilias-nst.info. isoc.org. 86399 IN NS ns1.hkg1.afilias-nst.info. isoc.org. 86399 IN NS ns-ext.nlnetlabs.nl. isoc.org. 86399 IN NS ns1.yyz1.afilias-nst.info. ;; AUTHORITY SECTION: isoc.org. 86399 IN NS ns-ext.nlnetlabs.nl. isoc.org. 86399 IN NS ns1.ams1.afilias-nst.info. isoc.org. 86399 IN NS ns1.hkg1.afilias-nst.info. isoc.org. 86399 IN NS ns1.yyz1.afilias-nst.info. isoc.org. 86399 IN NS ns1.mia1.afilias-nst.info. isoc.org. 86399 IN NS ns1.sea1.afilias-nst.info. ;; ADDITIONAL SECTION: ns1.ams1.afilias-nst.info. 86400 IN A 65.22.6.79 ns1.ams1.afilias-nst.info. 86400 IN AAAA 2001:500:6::79 ns1.mia1.afilias-nst.info. 86400 IN A 65.22.7.1 ns1.mia1.afilias-nst.info. 86400 IN AAAA 2a01:8840:7::1 ns1.sea1.afilias-nst.info. 86400 IN A 65.22.8.1 ns1.sea1.afilias-nst.info. 86400 IN AAAA 2a01:8840:8::1 ns1.yyz1.afilias-nst.info. 86400 IN A 65.22.9.1 ns1.yyz1.afilias-nst.info. 86400 IN AAAA 2a01:8840:9::1 ;; Query time: 1894 msec ;; SERVER: 10.128.0.2#53(10.128.0.2) ;; WHEN: Tue Jul 08 16:38:02 JST 2014 ;; MSG SIZE rcvd: 3061 18
何故 DDoS ツールとして有効か? UDP であるため 送信元詐称が容易 Cloud Flare BLOG:http://blog.cloudflare.com/the-ddos-that-almost-broke-the-internet より 19
オープンリゾルバ問題対策 1 DNS の利用者を制限 DNS ソフトウェアのアクセスを絞る 10.0.0.1 } allow-query { 192.0.2.0/24; 192.0.2.1 20
オープンリゾルバ問題の対策 2 ネットワーク : 自組織外から内部 DNS を遮断 自組織が踏み台にならない ネットワーク : 自組織内から外部 DNS を遮断 自組織が攻撃を出さない 21
これまでの改善の取り組み 国内 日本 DNSオペレータズグループによる啓発 JPCERT/CCによるオープンリゾルバへの通知 国外 DNS OARC(OARC:DNSの観測 研究団体 ) の啓発 ネットワーク組織へのBCP38の啓発 2013 年当初と比較しオープンリゾルバが減少 22
他の UDP サービスへ飛び火 NTP:2013 年の夏ごろ話題 DNSの対策が進んだため Attackerは別の穴を悪用 機械によっては Configで指定しないと インターネット全体から許可されて動作している等 SNMP:2014 年の春ごろ話題 SNMP: ネットワーク管理用プロトコル 調査によると接続パスワードが "public" のままが多 SNMPの性質上 攻撃パケットの増幅率が http://thehackernews.com/2014/05/snmp-reflection-ddosattacks-on-rise.html より 23
今後の対策 :UDP にはご注意 すでにDNSやNTPといったプロトコル単位の話ではなくなりつつある UDPのサービスはすべてターゲット ネットワークフィルタを書くしかないか? BCP38 文書 ネットワークの境界できちんと ACL を適用を推奨 TCP: パケット送信元を詐称すると 3-Way ハンドシェイクが失敗 UDP: コネクションレスであるため 詐称した IP アドレスへ応答 24
まとめ DNSが関係する 箱 を作る際にはご注意を DNSが関係ないと思っていても Linux OpenWRT XXXBSD などはDefaultでDNSが動いていたりします UDP もご注意 NTP/SNMP サービスごとにアクセス制限 パスワードを書ける それに追加してネットワークフィルタも 25
参考資料 確認サイト OpenResolver の解説 Cloud Flare The course of the open resolver https://www.apricot.net/apricot2013/assets/tompaseka_1361839564.pdf DNS OpenResolver について考える JANOG http://www.janog.gr.jp/meeting/janog31.5/program/dns-openresolver.html Openresolver 注意喚起 JPNIC https://www.nic.ad.jp/ja/dns/openresolver/ OpenResolver 確認サイト http://www.openresolver.jp/ 26
ドメイン名に関係した問題のご紹介 ~ 新 gtld の大量導入と それにより引き 起こされる名前衝突のリスク ~
gtld の大量導入が進行中 2013 年 10 月以降 gtld (generic Top Level Domain; 分野別トップレベルドメイン ) と呼ばれるドメイン名の大量導入が始まっている それまでは 22 cctld なども含めても 280 ほどだった TLD が 2014 年 7 月 10 日時点では gtld だけでも 331 となっている.pro.museum.edu.net.int.biz.name.xxx.mil.gov.coop.aero.com.mobi.jobs.org.info.travel.tel.cat.asia.post.wiki.camera.pro.link.menu.nyc.museum.watch.systems.photo.tokyo.int.town.beer.domains.net.audio.biz.coop.name.xxx.mil.support.campany.gov. みんな.aero.tax.host.pub.best.house.email.com.paris.mobi.moe.jobs.life.org.сайт.bar.info.nagoya.travel. 商标.tel.media.cash.cat.directory.zone.ryukyu.asia. 游戏.post.bmw.nhk 28
大量導入の背景 新 gtld の導入を進めているのは インターネット資源をグローバルに調整している ICANN (The Internet Corporation for Assigned Names and Numbers) で 1998 年の設立以来の大きな目標 2000 年に 7 つ 2005 年に 4 つ 2006 年に 2 つ 2009 年と 2011 年にそれぞれ 1 つが承認され ICANN ができるまでは 7 つだった gtld は 2013 年 9 月時点で 22 に ただし 2000 年 ~2011 年までの新 gtld 追加はあくまで追加数や募集対象 利用目的などに一定の制限を設けた限定的なものだった 29
2012 年から実施された新 gtld 導入プログラム 誰でも申請でき 従来のような TLD の利用目的に関する審査などはなく 技術要件など定められた要件を満たしていればよい ( 準則的に承認 ) 2011 年 6 月 20 日に ICANN がプログラム実施を承認 第 1 ラウンドの申請受付が 2012 年 1 月 12 日 ~4 月 12 日にかけて行われ 1,930 件の申請があった - 北米 ( 約 900) 欧州( 約 700) アジア( 約 300 うち日本は約 70) に対し アフリカや中南米は少数の申請に留まる ( それぞれ20 程度 ) [ 申請文字列の例 ] 一般名詞 :.shop.book. ファッション. ストア 企業 サービス名 :.goo.mcdonalds. グーグル. アマゾン 地名 :.tokyo.kyoto.nyc. 深圳. 广州.شبكة 日に 国際化ドメイン名が優先処理され 2013 年 10 月 23.онлайн.сайт. 游戏 の四つがルート DNS に追加された 30
gtld の大量導入に伴って発生した問題 商標権に関する問題 従来のgTLDでも見られた問題 導入前にも 統一ドメイン名紛争処理方針 (UDRP; Uniform Domain Name Dispute Resolution Policy) という紛争処理のための仕組みが設けられていたが 数が多過ぎてUDRPだけでは対応できない 新たな仕組みを導入 Trademark Clearinghouse(TMCH) 商標保護のためのデータベース Uniform Rapid Suspension System(URS) ドメイン名の緊急差し止め Trademark Post-Delegation Dispute Resolution Procedure( PDDRP) レジストリによる商標侵害への対抗措置 名前衝突 (Name Collision) 問題 次スライド以降で詳しく解説 31
名前衝突 (Name Collision) とは? 企業内ネットワークなど 実在しないから大丈夫 として利用.corp 勝手 TLD 衝突!?.jp インターネット.com.corp 新 gtld.net.org 従来 内部的に勝手に利用していたドメイン名と 新 gtld として認められたドメイン名が衝突 意図した相手と通信できない 意図しない相手と通信してしまう 32
パブリック DNS から見える状況 順位 検索文字列 件数 ( 千件単位 ) 実在するTLD 申請済 未申請 1 com 8,555,898 2 net 5,037,688 3 local 2,501,349 4 org 1,099,675 5 home 1,018,998 問い合わせ上位は 6 arpa 845,996 7 localdomain 596,069 登録数数 100 万 ~1 千 8 internal 508,937 9 ru 426,826 万件強のTLDと並ぶ 10 localhost 414,286 11 cn 392,168 12 belkin 388,979 13 lan 362,914 14 uk 308,134 15 de 289,210 16 domain 275,608 17 jp 269,032 18 br 245,572 19 info 245,228 20 edu 235,602 21 au 157,392 ルートゾーンへの検索件数 22 pl 153,050 (DNS OARC - Day in the Life of 23 corp 153,012 24 nl 145,164 The Internet データ ) 25 router 140,124 33
名前衝突により発生するおそれがある問題 発生するおそれがある問題 イントラネット上のサーバにアクセスできなくなる 影響の種類 勝手 TLD や短縮名を利用したサービスの挙動が変わる 勝手 TLD を含むドメイン名の証明書の発行 利用ができなくなる サーチリスト ( ドメイン名補完 ) 利用時に他サーバへアクセスできなくなる 利用不可 エンドユーザが名前衝突する新 gtld にアクセスできなくなる 内部サーバのつもりで外部サーバにアクセスしてしまう 社内で利用しているホスト名が外部に知られてしまう 情報漏えい 34
名前衝突の影響範囲 名前衝突の影響を受ける可能性のある対象者一般企業 ISP ( 含 CATV ホスティング ) ネットワーク製品 情報家電ベンダーパブリック認証局および代理店システムインテグレーター ネットワークインテグレーター 名前衝突の影響を受けるケース内部ネットワークで勝手 TLD を利用サーチリスト ( ドメイン名補完 ) を利用勝手 TLD を含むドメイン名証明書 (CA 発行 ) の発行 利用勝手 TLD を利用したサービスを提供機器の設定用 URL などに勝手 TLD を利用 35
ICANN による名前衝突問題への主な対応 名前衝突のリスク評価と対応のフレームワークを構築し 新 gtld プログラムに適用.home.corp の新 gtld としての追加を取りやめ.mail も追加取りやめの検討対象 申請された新 gtld ごとに名前衝突のおそれを調査し リストの提示および対策の提案を実施 名前衝突発生時の報告窓口を設置 http://www.icann.org/en/help/name-collision/report-problems IT 専門家向けのガイドブックを作成 公開 http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja- 1.0.pdf ( 株式会社日本レジストリサービスによる日本語訳 ) 主に電子認証事業者およびブラウザベンダーから構成される CA/Browser Forumと連携して検討を実施 36
日本国内における検討 名前衝突問題は新 gtld の申請者だけでなく 企業や一般ユーザなど広範囲に影響が及ぶおそれがある 一方 この問題が十分認知されているとは言えず 実際にどのぐらい影響が及ぶのかも未知数 新 gtld の大量導入により発生が懸念されるリスクとその対策を検討し 対応が必要な関係者に向けた提言をまとめることを目的に 新 gtld 大量導入に伴うリスク検討 対策提言専門家チーム を JPNIC 内に組成 検討を実施 提言を取りまとめた報告書を JPNIC Web にて公開 次ページ以降で想定される主なケースを紹介 37
想定ケース 1: イントラネットで勝手 TLD を利用 内部サービスにアクセスできなくなる 内部サービスのつもりが外部にアクセスしてしまう 名前衝突する新 gtld にアクセスできなくなる 新 gtld 追加前 新 gtld 追加後 インターネット インターネット www.corp 新 gtld 情報漏えい 企業内イントラネット Web メール ファイルサーバー.corp 勝手 TLD 企業内イントラネット Web メール ファイルサーバー.corp 勝手 TLD 利用不可 ユーザ ユーザ ユーザ ユーザ 38
想定ケース 2: サーチリストを利用 サーチリストでの補完を前提に短縮名を利用していた場合 名前衝突が起こると意図とは異なる動作となってしまう 新 gtld 追加前 新 gtld 追加後 hostname.tky.co.jp を運用し サーチリストを利用しているケース 21 回目の名前解決要求 hostname.tky 存在しない (NXDOMAIN) 1http://hostname/ とブラウザに入力 32 回目の名前解決要求 hostname.tky.co.jp 10.0.0.1 が回答 ユーザ DNS サーバ サーチリストを設定.tky.tky.co.jp.tky 新 gtld 21 回目の名前解決要求 hostname.tky 192.0.2.0 が回答 1http://hostname/ とブラウザに入力 ユーザ!? DNS サーバ 意図しない動作 サーチリストを設定.tky.tky.co.jp 39
想定ケース 3: 勝手 TLD を含む証明書を利用 CA から勝手 TLD を含む証明書の発行を受けていた場合 今後は利用できなくなる - 2015 年 10 月 1 日以降は勝手 TLD を含む証明書の発行は完全に出来なくなる ( 更新も不可 ) - 新 gtld と同一の勝手 TLD を含む証明書は 新 gtld レジストリの契約公開から 30 日以内に発行停止 120 日以内に発行済みの証明書も失効 新 gtld 追加前 新 gtld 追加後 CA インターネット CA インターネット corp 勝手 TLD 勝手 TLD 向け証明書の発行停止 失効 corp 勝手 TLD 企業内イントラネット 証明書 www.corp Web サーバ 企業内イントラネット 証明書 www.corp Web サーバ SSL でのセキュアな通信 ユーザ セキュアな通信の利用不可 ユーザ 40
想定ケース 4: ISP などで勝手 TLD を用いた サービスを提供 勝手 TLD の利用を前提としていたサービスが利用できなくなる - ユーザ向け Web サイトなどにアクセスできなくなる - メールサーバなどへアクセスできなくなる ユーザが新 gtld にアクセスできなくなる 新 gtld 追加前 新 gtld 追加後 インターネット インターネット.corp 新 gtld 意図しない動作 利用不可 ISP ISP 提供サービス ISP ISP 提供サービス ユーザ.corp 勝手 TLD ユーザ.corp 勝手 TLD 41
想定ケース 5: 機器設定等に勝手 TLD を利用 ユーザが設定画面等にアクセスできなくなる 意図しない Web サイトにユーザが誘導される 新 gtld 追加前 新 gtld 追加後 インターネット インターネット.set-up 新 gtld.set-up 勝手 TLD ユーザ ISP ブロードバンドルータ http://www.set-up/ ルータ設定画面 ID admin password ***** ルータ設定画面.set-up 勝手 TLD ユーザ ISP ブロードバンドルータ 情報漏洩マルウェア http://www.set-up/ ルータ設定画面 ID password admin ***** ルータ設定画面に似せたサイト 42
その他 : セカンドレベルにおける名前衝突 前述のICANNによる名前衝突のリスク評価と対応のフレームワークにより セカンドレベルにおいても衝突の可能性が高い文字列は登録がブロックされることになった ブロックリストに含まれる文字列は 他の予約語などと同様にセカンドレベルとしても登録ができない リストの内容はTLDごとに異なる http://www.icann.org/en/about/agreements/registries/apd-reports-17nov13-en.zip example.corp を登録したい! 登録不可.corp 新 gtld tokyo icann jp com shop list example corp.. 43
名前衝突問題への対策 勝手 TLD の利用をやめる パブリックな名前空間のドメイン名を利用する 例 : www.corp www.home.example.co.jp 勝手 TLD を利用した証明書からパブリックな名前空間のドメイン名を利用した証明書の利用へ切り替える サーチリストの利用をやめる いずれの場合も システム構成やサービスの変更にあたっては 十分な検討と準備期間が必要 44
今後気を付けた方がいいこと 新しくシステムやサービスを構築する際には 実際に新しくドメイン名を登録してそれを利用する 自社で利用しているドメイン名の下にサブドメイン作りそれを利用する ユーザー向け設定画面などへのアクセスには IPアドレスや設定用アプリケーションを用いる などといった方法を用い 勝手 TLD を使わない! 問題が起こってしまってから対応しようとすると 遙かに多くの時間とコストがかかります 45
名前衝突問題の周知のお願い 名前衝突問題は影響範囲が広く 思ってもいないところに影響が及ぶ可能性がある その割に影響を受ける可能性があるすべての人々に本問題が認知されているとは言いがたい 対策には時間やコストがかかるものもあるため できるだけ早く できるだけ多くの人に知らせたい JPNIC や関係者だけの力では周知にも限界があり みなさまの周りでこの問題を知らない人がいたら ぜひ伝えていただきたい 46
本件に関するご意見 お問い合わせ 名前衝突問題 に関するご意見 お問い合わせは JPNIC 事務局ドメイン名関連問い合わせ窓口まで ぜひお知らせした方が良いと思われる周知先がありましたら その情報も募集しています 本件に限らず ドメイン名に関するお問い合わせ全般もお受けしています JPNIC 事務局ドメイン名関連問い合わせ窓口 domain-query@nic.ad.jp 47
参考リンク JPNIC Web の名前衝突に関する情報 名前衝突 (Name Collision) 問題をまとめた Web ページ https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/ 対象者別の解説資料を掲載 本問題に関する各種情報を取りまとめ 報告書 新 gtld 大量導入に伴う名前衝突 (Name Collision) 問題とその対策について https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/name-collisionreport.pdf 報告書概要版 トップレベルドメイン名の大量導入 に伴うリスク検討 対策提言の報告書発表について https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/summary.pdf 48
参考リンク ICANN Web の名前衝突に関する情報 Name Collision に関するリソースと情報 https://www.icann.org/resources/pages/name-collision-2013-12-06-en Name Collision に関する FAQ https://www.icann.org/resources/pages/faqs-2013-12-06-en Name Collision 発生への対応案 https://www.icann.org/en/system/files/files/resolutions-new-gtld-annex- 1-07oct13-en.pdf IT 専門家向けの Name Collision に関するアドバイス https://www.icann.org/en/system/files/files/name-collision-mitigation- 05dec13-en.pdf IT 専門家のための名前衝突の確認および抑止方法ガイド (JPRSによる日本語訳 ) http://jprs.jp/tech/material/name-collision-mitigation-05dec13-ja-1.0.pdf 49
参考リンク Name Collision 発生時の報告先 https://forms.icann.org/en/help/name-collision/report-problems SSAC 文書 (SAC045 057 062 064) https://www.icann.org/resources/pages/documents-2012-02-25- en ICANN Web の新 gtld に関する情報 新 gtld 申請文字列一覧 https://gtldresult.icann.org/application-result/applicationstatus 新 gtld 委任文字列一覧 http://newgtlds.icann.org/en/program-status/delegated-strings レジストリ契約公開ページ https://www.icann.org/resources/pages/registries-2012-02-25-en 50