新 gtld 大 量 導 入 に 伴 う 名 前 衝 突 (Name Collision) 問 題 とその 対 策 について 2014 年 6 月 9 日 一 般 社 団 法 人 日 本 ネットワークインフォメーションセンター (JPNIC) 新 gtld 大 量 導 入 に 伴 うリスク 検 討 対 策 提 言 専 門 家 チーム
目 次 1. はじめに... 1 2. 名 前 衝 突 の 概 要... 1 3. 名 前 衝 突 によって 起 こる 問 題... 4 4. 名 前 衝 突 の 原 因... 7 5. ICANN における 名 前 衝 突 への 対 策... 8 6. 個 別 のケースにおける 懸 念 される 問 題 と 対 策... 9 6.1 企 業 ネットワーク 管 理 者... 9 6.2 ISP 運 用 者... 12 6.3 ネットワーク 製 品 や 情 報 家 電 等 のベンダー... 15 6.4 パブリック 認 証 局 およびその 代 理 店... 17 6.5 SIer NIer... 19 7. 最 後 に... 19 8. 著 者 について... 20 9. 参 考 資 料... 21
1. はじめに 本 報 告 書 は 新 gtld(generic Top Level Domain: 分 野 別 トップレベルドメイ ン) 大 量 導 入 に 伴 い 発 生 する 名 前 衝 突 (Name Collision) のリスクおよび 対 策 についてまとめたものである 名 前 衝 突 とは 企 業 内 のイントラネットやルータ 等 の 製 品 サービスで 使 用 している 内 部 利 用 用 途 ドメイン 名 ( 以 降 本 報 告 書 では 勝 手 TLD 1 と 称 する) や 絶 対 ドメイン 名 (FQDN; Fully Qualified Domain Name)の 代 わりに 用 いる 短 縮 名 が 後 述 する ICANN が 導 入 を 進 めている 新 gtld で 追 加 予 定 の TLD と 同 じ 文 字 列 となってしまうことを 指 している 名 前 衝 突 によって 企 業 内 イントラネ ットの 通 信 不 可 サービスの 利 用 不 能 情 報 漏 えい 等 の 問 題 が 発 生 する 本 報 告 書 は ネットワークに 関 する 業 務 に 携 わっている 方 を 想 定 読 者 として 名 前 衝 突 問 題 によって 起 こり 得 る 事 象 について 広 く 知 ってもらい 適 切 な 対 処 を 行 う 際 の 参 考 資 料 として 作 成 した 特 に 企 業 や ISP ネットワークの 管 理 者 運 用 者 また 関 連 する 製 品 のベンダーや 認 証 局 に 関 わる 方 さらにシステム 構 築 に 関 連 したシステムインテグレーター(SIer)やネットワークインテグレー ター(NIer)といった 方 に 読 んでいただきたい 本 報 告 書 では 名 前 解 決 によって 起 きる 問 題 や 影 響 を 具 体 的 な 例 を 用 いて 解 説 する また 名 前 衝 突 が 発 生 する 原 因 と 事 例 対 策 について 紹 介 する 2. 名 前 衝 突 の 概 要 ドメイン 名 や IP アドレスといったインターネットに 関 わる 資 源 を 全 世 界 的 に 管 理 調 整 することを 目 的 として 1998 年 10 月 に ICANN(he Internet Corporation for Assigned Names and Numbers)という 民 間 の 非 営 利 法 人 が 設 立 された この ICANN の 設 立 目 的 の 一 つに 実 行 可 能 かつ 公 益 に 資 する 場 合 には ドメイン 名 登 録 に 競 争 を 導 入 および 促 進 すること(ICANN 付 属 定 款 第 1 条 使 命 1 パブリックな 名 前 空 間 においては root DNS を 頂 点 としたツリー 構 造 でドメイン 名 を 管 理 して いるが イントラネット 等 のプライベートな 名 前 空 間 で 使 われている TLD をパブリックな 名 前 空 間 の TLD と 区 別 する 用 語 として 勝 手 TLD という 名 称 を 著 者 らは 提 案 したい 1
および 基 本 的 理 念 第 2 項 基 本 的 理 念 6.) があり これに 従 いさまざまな 議 論 を 重 ね 従 来 の.com.net.org と い った gtld に 加 え て.biz.info.mobi.asia などを 段 階 的 に 追 加 2 してきた ICANN は 2000 年 2003 年 の 募 集 においては 応 募 のあった 新 しい gtld に 対 して 個 別 に 審 査 を 行 ってきたため 結 果 的 に 合 計 15 だけの 追 加 にとどまってい た 続 く 2012 年 の 募 集 では あらかじめ 募 集 要 項 と 要 件 を 精 緻 化 し これに 合 致 した 申 請 であれば 誰 にでも 登 録 を 認 める 方 式 へと 変 更 された これによって 飛 躍 的 に 新 gtld の 応 募 が 増 加 し 本 報 告 書 執 筆 時 点 では 1,300 程 度 の gtld が 追 加 される 見 込 みである また 新 gtld の 募 集 は 今 後 も 継 続 して 行 われる 予 定 で 次 の 募 集 でも 大 量 に 増 えていくと 考 えられる 現 時 点 で 応 募 されている 新 gtld の 一 覧 は ICANN の web サイト 3 で 確 認 できるのでご 確 認 いただきたい 一 方 一 部 の 企 業 や 製 品 ベンダー サービス 提 供 者 においては 企 業 内 のイ ントラネットや 製 品 に インターネット 全 体 で 用 いる.com や.net 等 の TLD とは 異 なる 勝 手 TLD(.corp 等 4 )を 使 用 している 例 が 存 在 する 具 体 的 には Microsoft 社 の Active Directory や ネットワーク 製 品 のセットアップ 画 面 へのアクセス 用 URL に 勝 手 TLD を 使 用 した 例 が 挙 げられる これらは 新 しい TLD が 増 えな いことが 前 提 となっており これまでは 勝 手 TLD がパブリックな 名 前 空 間 5 の TLD と 重 なってしまうこともなく 問 題 は 発 生 しなかった 前 述 したように 今 後 大 量 の 新 gtld が 追 加 されることに 伴 い この 新 gtld と 勝 手 TLD を 用 いた 勝 手 ドメイン や アクセスを 簡 便 にするためドメイン の 一 部 を 利 用 する 短 縮 名 とが 同 じ 文 字 列 の 場 合 今 まで 発 生 しなかった 問 題 が 生 じると 想 定 されている( 次 ページ 図 1) このように 新 gtld と 勝 手 TLD や 短 縮 名 との 重 複 が 引 き 起 こす 問 題 は 名 前 衝 突 (Name Collision) と 呼 ばれており 問 題 視 されるようになってきた 2 この 新 gtld 追 加 の 経 緯 については JPNIC ニュースレターNo.49 が 詳 しい https://www.nic.ad.jp/ja/newsletter/no49/0800.html 3 New gtld Current Application Status https://gtldresult.icann.org/application-result/applicationstatus 4 本 報 告 書 では 勝 手 TLD の 例 として.example などを 使 用 することも 検 討 したが RFC2606 で 例 示 用 として 定 義 された ある 意 味 以 前 から 存 在 している 勝 手 TLD とは 呼 べないものであ り これを 使 用 するのは 逆 に 不 適 切 と 考 えられるため 採 用 しなかった 報 告 書 内 では.corp.set-up 等 を 使 い 表 記 している 5 インターネット 上 のドメインツリーで 一 意 に 定 まるドメイン 名 によって 構 成 された 名 前 空 間 2
当 然 新 gtld の 登 録 者 にとって 勝 手 TLD による 名 前 衝 突 はエンドユーザー からのアクセスを 妨 げるものであり 提 供 するサービスの 機 会 損 失 につながる また ICANN が 進 めてきた 新 gtld 拡 大 の 動 きとも 相 反 する 言 い 換 えるなら 勝 手 TLD を 使 うことはパブリックな 名 前 空 間 の 一 意 性 を 否 定 し インターネッ トを 分 断 する 行 為 とも 言 える 図 1 新 gtld 追 加 前 と 追 加 後 の 動 作 の 違 い 影 響 はそれだけでなく 新 gtld の 登 録 者 に 限 らず 勝 手 TLD の 運 用 者 利 用 者 についても 影 響 があると 考 えられ 具 体 的 には 勝 手 TLD の 運 用 者 利 用 者 につ いても 以 下 の 問 題 が 発 生 すると 考 えられている [ 利 用 不 能 ] (1) 企 業 のイントラネット 上 のサーバーにアクセスができなくなる メール 送 受 信 ができなくなる (2) 勝 手 TLD やサーチリスト 6 を 利 用 した 短 縮 名 を 用 いたサービスの 挙 動 が 変 わり ユーザーに 提 供 しているサービスが 正 しく 動 作 しなくなる( 次 ページ 図 2) (3) 勝 手 TLD を 含 むドメイン 名 の 証 明 書 の 発 行 利 用 ができなくなる 6 ホスト 名 だけなど 短 縮 した 名 前 で DNS に 対 し 名 前 解 決 要 求 を 行 った 場 合 に あらかじめ 設 定 しておいたドメインを 付 与 して 名 前 解 決 を 行 う 機 能 のこと 例 えば http://test/とブラウザで 入 力 しても DNS では test.example.com と 後 ろにドメイン 名 を 補 い 名 前 解 決 した 結 果 の IP アド レスを 応 答 するように 利 用 される 3
(4) サーバー 内 部 の 設 定 でサーチリストによる 短 縮 名 使 用 時 に 他 サーバーへ の 通 信 ができなくなる (5) エンドユーザーが 名 前 衝 突 する 新 gtld にアクセスできなくなる 図 2 サーチリスト 利 用 時 の 新 gtld 追 加 前 後 での 挙 動 の 違 い [ 情 報 漏 えい] (6) 組 織 内 部 のサーバーのつもりで 組 織 外 部 のサーバーにアクセスし ID やパ スワード 等 の 情 報 漏 えいを 起 こす (7) 社 内 で 利 用 しているホスト 名 が 外 部 に 漏 えいする 次 節 において 前 述 の 問 題 を 具 体 的 に 解 説 する 3. 名 前 衝 突 によって 起 こる 問 題 名 前 衝 突 によって 引 き 起 こされる 問 題 は 主 に 利 用 不 能 および 情 報 漏 え い だが それらの 詳 細 について 以 下 に 個 別 の 説 明 を 行 う [ 利 用 不 能 ] (1) 企 業 のイントラネット 上 のサーバーにアクセスできなくなる メール 送 受 信 ができなくなる 4
新 gtld として.corp が 追 加 された 場 合 を 例 に 説 明 する 企 業 のイント ラネット 上 のサーバーに 勝 手 TLD として.corp を 使 ったホスト 名 である www.example.corp や mail.example.corp を 使 用 している 場 合 に 問 題 が 発 生 する ユーザーがサーバーにアクセスするために ホスト 名 に 対 応 す る IP アドレスを DNS に 問 い 合 わせると 新 たに 追 加 された 新 gtld であ る.corp の DNS サーバーから 本 来 意 図 したものとは 異 なる IP アドレス が 返 ってくる すなわち 本 来 アクセスを 意 図 していたイントラネット 上 のサーバーにアクセスできなくなる これにより 企 業 のイントラネット 上 の Web サーバーへのアクセスや メール 送 受 信 ができなくなり 企 業 内 における 業 務 活 動 が 停 止 する 等 の 影 響 が 発 生 する (2) 勝 手 TLD や 短 縮 名 を 利 用 したサービスの 挙 動 が 変 わり ユーザーに 提 供 しているサービスが 正 しく 動 作 しなくなる サービスを 提 供 するシステムを 設 定 する 際 勝 手 TLD や 短 縮 名 を 用 い てサーバー 名 やサービス 名 を 簡 便 に 記 述 する 場 合 がある 名 前 衝 突 により 本 来 アクセスするサーバー 名 やサービス 名 と 異 なる IP アドレスが 得 られ ると サービスやシステム 自 体 が 意 図 通 りに 動 作 しなくなることがある 例 えばファイアウォール 機 能 のアクセスコントロールリスト(ACL)が 意 図 通 り 動 作 しなくなる 場 合 がある これによりユーザーに 提 供 しているサー ビスが 正 しく 動 作 しなくなる (3) 勝 手 TLD を 含 むドメイン 名 の 証 明 書 の 発 行 利 用 ができなくなる 企 業 のイントラネット 等 で 勝 手 TLD を 使 用 しており かつパブリック 認 証 局 (Web ブラウザや OS などにあらかじめに 登 録 されている 認 証 局 )か ら 勝 手 ドメイン 名 ( 勝 手 TLD を 含 むドメイン 名 )に 証 明 書 を 発 行 しても らっているケースがこれに 相 当 する (イントラネット 等 に 対 してもパブ リックな 名 前 空 間 のドメイン 名 を 利 用 している 場 合 や パブリック 認 証 局 からの 発 行 を 受 けていないケースは 該 当 しない) パブリック 認 証 局 は 所 定 の 監 査 基 準 に 基 づいて 証 明 書 発 行 を 行 う 義 務 があり 勝 手 ドメイン 名 用 の 証 明 書 ( 以 下 勝 手 ドメイン 名 証 明 書 ) 5
に 関 して 発 行 が 規 制 されることになった これにより 勝 手 ドメイン 名 証 明 書 は 近 日 中 にパブリック 認 証 局 から 入 手 できなくなるために セキ ュアな 通 信 ができない 問 題 が 発 生 する (4) サーバー 内 部 の 設 定 でサーチリストによる 短 縮 名 使 用 時 に 他 サーバー への 通 信 ができなくなる 企 業 内 のシステムを 構 築 する 際 サーバー 間 の 通 信 相 手 を サーチリ ストの 利 用 を 前 提 とした 短 縮 名 で 記 載 している 場 合 がある 名 前 衝 突 が 発 生 するとサーバー 間 の 通 信 ができなくなり システム 全 体 が 正 しく 動 作 しなくなる (5) エンドユーザーが 名 前 衝 突 する 新 gtld にアクセスできなくなる 新 gtld と 名 前 衝 突 する 勝 手 TLD を 利 用 し エンドユーザーに 対 して 外 部 の DNS での 名 前 解 決 よりも 勝 手 TLD の 名 前 解 決 を 優 先 している 場 合 エンドユーザーは 勝 手 TLD の 名 前 解 決 しか 行 えないため 新 gtld 上 で 提 供 されているサービスに 対 してアクセスすることができなくなる [ 情 報 漏 えい] (6) 組 織 内 部 のサーバーのつもりが 組 織 外 部 のサーバーにアクセスし 情 報 漏 えいを 起 こす 名 前 衝 突 により 本 来 アクセスしたいサーバーとは 異 なる IP アドレスが 得 られると 組 織 外 部 のサーバーに 意 図 せずアクセスすることが 起 きる 組 織 外 部 のサーバーにおいて Web サーバーやメールサーバーなどが 稼 働 している 場 合 ユーザーは 異 なるサーバーであることに 気 づかず ID と パスワードやデータの 提 供 を 行 ってしまう 可 能 性 がある これにより 情 報 漏 えいを 引 き 起 こす (7) 社 内 で 利 用 しているホスト 名 が 外 部 に 漏 えいする 運 用 時 のドメイン 名 入 力 を 簡 便 にするために 絶 対 ドメイン 名 (FQDN) の 代 わりに 短 縮 名 を 用 いている 場 合 に 発 生 する 短 縮 名 は 本 来 であれ ばサーチリストの 補 完 により 絶 対 ドメイン 名 の 名 前 解 決 が 行 われるはず であるが OS やアプリケーションの 実 装 によっては 短 縮 名 のままでの 名 6
前 解 決 が 行 われることがあり 得 る つまり 外 部 の DNS サーバーに 対 し 短 縮 名 のままの 問 い 合 わせが 到 達 することにより 通 常 外 部 に 知 られる ことがないホスト 名 などのシステム 情 報 の 漏 えいが 発 生 する 4. 名 前 衝 突 の 原 因 名 前 衝 突 による 問 題 が 発 生 する 原 因 としては 主 に 二 つの 要 因 が 挙 げられる 一 つは 勝 手 TLD であり もう 一 つは 短 縮 名 である 以 下 に それぞれの 場 合 に 発 生 する 問 題 について 説 明 を 行 う [ 勝 手 TLD] 勝 手 TLD とは パブリックな 名 前 空 間 で 使 う TLD と 異 なる TLD を 企 業 のイントラネット 等 の 内 部 用 として 利 用 するものである これまで TLD で 使 われている 文 字 列 は 比 較 的 限 られ かつ 頻 繁 には 変 化 がなかった その ため ある 時 点 で 存 在 していない TLD を 勝 手 TLD として 利 用 したとしても 実 際 の TLD と 重 複 することを 気 にする 必 要 はまずなく 運 用 ができていた しかし 新 gtld の 追 加 が 進 んでいる 今 になり 文 字 列 の 重 複 が 現 実 に 起 き ることが 分 かってきた 勝 手 TLD の 根 本 対 応 としては これを 使 うことを 止 めることである ま た 将 来 的 にはインターネットで 使 われることがなく 今 後 も 新 TLD とし て 利 用 されることがないプライベート TLD の 検 討 が 行 われており 7 それを 用 いることも 可 能 である [ 短 縮 名 ] 組 織 内 のシステムを 利 用 する 場 合 絶 対 ドメイン 名 (FQDN)を 用 いずに 短 縮 名 を 用 いてアクセスを 行 う 場 合 が 多 くある 組 織 内 であれば 省 略 され るドメイン 名 は 自 明 であるためホスト 名 を 用 いたり 複 数 拠 点 を 持 つ 企 業 や 部 門 ごとにサブドメインを 使 い 分 けている 企 業 などでは ホスト 名 + 拠 点 名 などの 組 み 合 わせを 使 う 例 (www.tokyo www.corp)は 多 い この 短 縮 名 は サーチリストと 呼 ばれるドメイン 名 を 補 完 するための 機 能 を 用 い 例 えば example.com というドメイン 名 を 補 完 されて 7 Mitigating the Risk of DNS Namespace Collisions https://www.icann.org/en/news/announcements/announcement-26feb14-en.htm 7
www.tokyo.example.com といった 形 で 名 前 解 決 されることで 使 用 されてい る しかしながら OS やアプリケーションの 実 装 によっては 実 際 は 先 に www.tokyo の 名 前 解 決 を 行 い 失 敗 した 場 合 にドメイン 名 を 補 完 され www.tokyo.example.com で 名 前 解 決 を 行 う 動 作 をする 場 合 も 考 えられる こ の 場 合 新 gtld として.tokyo が 追 加 されると 最 初 の www.tokyo の 名 前 解 決 において 新 gtld のドメイン 名 として IP アドレスの 応 答 があるために 本 来 意 図 していた www.tokyo.example.com の 名 前 解 決 が 行 われない すな わち 名 前 衝 突 が 発 生 する 短 縮 名 が 原 因 となる 名 前 衝 突 を 回 避 するための 根 本 対 応 は 短 縮 名 の 使 用 を 止 めることである 絶 対 ドメイン 名 (FQDN)を 用 いることで サーチリ ストとの 関 係 を 考 慮 したあいまいな 選 択 肢 から 意 図 せぬドメイン 名 が 名 前 解 決 に 利 用 されることが 防 げる 勝 手 TLD と 短 縮 名 のいずれに 関 する 根 本 対 応 の 場 合 も それを 実 施 するた めには 慎 重 に 影 響 や 危 険 性 を 考 慮 しながら 実 施 する 必 要 がある また 場 合 に よっては 大 きなコストを 伴 う 解 決 方 法 であることもある 影 響 が 明 確 でない 場 合 は 慎 重 に 計 画 を 練 り 段 階 的 に 対 応 の 実 施 を 行 うことが 望 ましい 5. ICANN における 名 前 衝 突 への 対 策 2 節 で 触 れたように 新 gtld については 2000 年 2003 年 そして 2012 年 と 追 加 の 募 集 が 行 われてきた 名 前 衝 突 の 問 題 を 重 要 視 している ICANN は 新 たな gtld の 追 加 を 進 めるにあたり 名 前 衝 突 への 対 策 を 行 うことを 決 定 し それに 沿 った 各 種 施 策 8 を 進 めている ICANN が 行 う 対 策 は 主 に 以 下 に 挙 げるものである 9 -.home.corp については 特 に 名 前 衝 突 の 影 響 が 大 きいことが 考 えられるた 8 Name Collision Resources & Information https://www.icann.org/en/help/name-collision 9 Addressing the Consequences of Name Collisions https://www.icann.org/en/news/announcements/announcement-3-05aug13-en.htm 8
め 無 期 限 に 新 gtld としての 追 加 を 取 りやめ - 申 請 された gtld ごとに 名 前 衝 突 の 恐 れがある TLD 名 の 調 査 を 行 い リス トの 提 示 および 対 策 の 提 案 を 実 施 - 名 前 衝 突 のリスク 評 価 と 対 応 のフレームワークを 構 築 し 新 gtld 導 入 の プログラムにおいて 適 用 また 現 在 継 続 して 検 討 中 の 対 策 として 以 下 が 挙 げられる - IP アドレスにおけるプライベートアドレスのように インターネットでは 使 われずに 組 織 内 で 自 由 に 使 うことができるプライベートドメイン 名 の 10 検 討 ICANN は CA/Browser Forum 11 と 連 携 し 勝 手 TLD と 証 明 書 における 問 題 につい ても 検 討 を 行 っているため 関 係 者 はその 動 向 について 注 目 しておくべきで ある 6. 個 別 のケースにおける 懸 念 される 問 題 と 対 策 ここから この 名 前 衝 突 の 問 題 に 対 する 対 策 を 企 業 ネットワーク 管 理 者 ISP 運 用 者 ネットワーク 製 品 や 情 報 家 電 等 のベンダー パブリック 認 証 局 およびその 代 理 店 SIer NIer という 対 象 者 別 に 解 説 する 6.1 企 業 ネットワーク 管 理 者 新 gtld が 登 録 使 用 開 始 されたとき 自 社 のネットワークには 関 連 がないと 思 っても 今 までアクセスできていた 社 内 のサイトにある 日 突 然 アクセスでき なくなったり 内 部 のサーバーにアクセスしているつもりが 外 部 のサーバーに 接 続 している という 事 象 が 起 き 得 る( 図 3) 10 Mitigating the Risk of DNS Name collisions [PDF] https://www.icann.org/en/about/staff/security/ssr/name-collision-mitigation-26feb14-en.pdf RECOMMENDATION1 にて.corp.home.mail について 追 加 を 行 わないよう 勧 告 11 電 子 認 証 事 業 者 およびブラウザベンダーを 主 な 構 成 メンバーとし 認 証 局 証 明 書 に 関 する 問 題 の 議 論 やガイドラインの 作 成 等 を 行 っている http:// www.cabforum.org/ 9
図 3 企 業 内 で 勝 手 TLD を 利 用 している 場 合 に 発 生 する 問 題 特 に 社 内 サイトに 接 続 不 可 となる 場 合 日 常 の 業 務 が 突 然 遂 行 できなくなり 企 業 の 死 活 問 題 にまで 発 展 する 恐 れがある 企 業 内 外 のネットワークを 明 示 するため 勝 手 TLD を 使 っている 場 合 や 短 縮 名 のドメイン 名 に 対 してサーチリスト 機 能 で URL を 補 完 している 場 合 に 発 生 する 可 能 性 が 高 い 具 体 的 には 下 記 の 事 象 が 発 生 する 恐 れがある (1) イントラネット 利 用 者 が 名 前 衝 突 する 新 gtld にアクセスできなくなる 勝 手 TLD と 同 じ 新 gtld が 存 在 した 場 合 には それらの 新 gtld へのア クセスができなくなる また 3 節 で 述 べたように 短 縮 名 を 利 用 している 場 合 も 同 様 な 事 象 が 起 きることが 想 定 される これら 名 前 衝 突 が 発 生 し ている 新 gtld において 業 務 に 関 係 のあるサイトが 構 築 された 場 合 など アクセスできない 影 響 は 大 きいと 想 定 される (2) 勝 手 TLD や 短 縮 名 での 利 用 を 前 提 に 構 築 されたシステムにおける 誤 作 動 やセキュリティ 被 害 が 発 生 する 企 業 のイントラネットに 存 在 するシステムが 勝 手 TLD の 利 用 や 短 縮 名 の 利 用 を 前 提 に 設 定 されている 場 合 に 発 生 する 恐 れがある これら 勝 手 TLD や 短 縮 名 と 重 複 する 新 gtld が 追 加 された 際 に 外 部 DNS サーバー での 名 前 解 決 ができず イントラネット 上 の DNS サーバーで 名 前 解 決 で 10
きていたのものが 外 部 DNS サーバーで 名 前 解 決 されると 意 図 してい ない 動 作 につながる 可 能 性 がある 例 えば その 先 に 意 図 的 に 悪 意 を 持 ったサーバーを 立 てられた 場 合 情 報 漏 えいなどセキュリティ 上 の 問 題 に 発 展 する 可 能 性 がある 上 記 (1)(2)のいずれの 場 合 も 勝 手 TLD でシステムを 構 築 する 場 合 は イン ターネットと 接 続 せずに 完 全 に 分 離 することで 回 避 できる しかしながら 現 在 インターネットと 通 信 していないとしても 今 後 のシステムの 変 更 によりイ ンターネットに 接 続 する 可 能 性 があるのであれば 勝 手 TLD を 使 わずにパブリ ック 名 前 空 間 のドメイン 名 を 利 用 するよう 修 正 し 問 題 を 回 避 した 方 が 将 来 の 拡 張 性 が 担 保 できる 利 点 がある なお 短 縮 名 をサーチリストで 補 完 することにつ いては 今 後 増 え 続 ける 新 gtld との 名 前 衝 突 の 危 険 性 を 考 慮 すると 利 用 を 中 止 しパブリックな 名 前 空 間 のドメイン 名 を 利 用 するのがよい 勝 手 TLD あるいは 短 縮 名 の 利 用 中 止 を 行 う 場 合 は 計 画 的 なシステム 改 修 や ユーザーへの 教 育 が 必 要 である 内 部 用 DNS でロギング 機 能 を 用 いて 未 移 行 のシステム ユーザー URL 等 の 洗 い 出 しを 行 うことなどの 対 策 がある (3) 勝 手 ドメイン 名 証 明 書 をパブリック 認 証 局 から 発 行 されているサーバー は パブリックな 名 前 空 間 のドメイン 名 への 移 行 が 必 要 となる 勝 手 ドメイン 名 証 明 書 をパブリック 認 証 局 から 発 行 されている 場 合 パブリック 認 証 局 では 2015 年 11 月 1 日 以 降 の 有 効 期 限 を 持 つ 勝 手 ドメ イン 名 証 明 書 を 発 行 することは 禁 じられているため 少 なくともそれま でに 何 らかの 対 応 を 行 う 必 要 がある パブリック 認 証 局 から 証 明 書 の 発 行 を 受 ける 必 要 があるサーバーであれば パブリックな 名 前 空 間 のドメ イン 名 へ 移 行 するとともに 移 行 先 ドメイン 名 での 証 明 書 発 行 を 受 ける 必 要 がある また 当 該 TLD が 新 gtld として 承 認 された 場 合 は 発 行 済 み 勝 手 ド メイン 名 証 明 書 があったとしても ICANN とレジストリの 契 約 から 120 日 以 内 に 失 効 12 される 可 能 性 がある( 次 ページ 図 4) 承 認 されていなくとも 12 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.1.6 の 11.1.4 節 に 当 該 の 記 述 がある https://cabforum.org/wp-content/uploads/baseline_requirements_v1_1_6.pdf 11
当 該 勝 手 TLD が 新 gtld として 既 に 申 請 されている 場 合 は 近 々 承 認 契 約 され(その 後 120 日 以 内 に 勝 手 ドメイン 名 証 明 書 は 失 効 され)る 可 能 性 もあるため 混 乱 を 避 けるためには 前 もって パブリックな 名 前 空 間 のドメイン 名 へ 移 行 しておくことが 望 ましい 新 gtld の 申 請 状 況 は ICANN の Web 13 サイトで 確 認 することが 可 能 である 勝 手 ドメイン 名 証 明 書 については 利 用 を 中 止 し 絶 対 ドメイン 名 (FQDN)での 証 明 書 を 取 得 することが 必 須 である なおシステム 移 行 には 時 間 がかかることが 予 想 されるので 計 画 的 にシステム 移 行 をすべきで ある 図 4 勝 手 TLD 向 け 証 明 書 の 発 行 停 止 による 影 響 企 業 のシステムでは 一 度 利 用 開 始 した 後 継 続 的 に 改 修 が 行 われずに 長 期 間 利 用 される 場 合 も 多 いと 想 定 される 過 去 TLD の 追 加 がない もしくは 追 加 さ れても 限 定 的 と 認 識 されていた 時 代 の 特 に 考 慮 無 く 勝 手 TLD や 短 縮 名 を 利 用 する 設 計 がされている 場 合 に ある 日 突 然 に 影 響 が 発 生 するため 注 意 が 必 要 で ある 6.2 ISP 運 用 者 新 gtld 取 得 の 事 前 調 査 により 追 加 されようとする gtld と ISP が 利 用 して いる 勝 手 TLD が 同 一 な 場 合 ICANN 等 から ISP に 対 して 勝 手 TLD の 利 用 について 13 New gtld Current Application Status https://gtldresult.icann.org/application-result/applicationstatus 12
注 意 喚 起 を 受 けることもあり 得 る 勝 手 TLD の 利 用 を 中 止 する 場 合 短 期 間 でシステム 改 修 やユーザー 対 応 を 行 う 必 要 が 発 生 する ユーザー 側 機 器 の 設 定 変 更 が 必 要 となる 場 合 は サポート 等 非 常 に 大 きなコストが 発 生 する 可 能 性 が 高 い さらに 実 際 に 新 gtld が 運 用 された 場 合 にも 自 ら 勝 手 TLD の 利 用 を 中 止 するまでにサポートが 必 要 となる ISP が 勝 手 TLD を 利 用 することについては 下 記 のような 問 題 がある (1) エンドユーザーが 名 前 衝 突 する 新 gtld にアクセスできなくなる エンドユーザー 宅 内 のプライベートネットワークで ネットワーク 機 器 の 設 定 用 URL などに 勝 手 TLD を 用 いた 名 前 空 間 が 使 われていることが ある 勝 手 TLD が 名 前 衝 突 する 場 合 プライベートネットワークで 利 用 している 勝 手 TLD の 方 が 優 先 されるので ユーザーは 新 gtld の 名 前 空 間 にアクセスできないという 問 題 が 起 きる また サーチリストを 利 用 して 絶 対 ドメイン 名 (FQDN)ではなく 短 縮 名 を 利 用 している 場 合 には 新 gtld の 登 録 によりこれまでアクセスでき ていたホストにアクセスできなくなるという 問 題 が 発 生 することがある 例 えば メールサーバーとして isp.mail.example.ne.jp という 名 前 を 設 定 するにあたって 相 対 ドメイン 名 で isp.mail と 設 定 し サーチリスト で example.ne.jp を 補 完 するようにしていると.mail という 新 gtld が 登 録 された 後 は それまで 使 っていた isp.mail.example.ne.jp ではなく FQDN として isp.mail という 名 前 を 持 つホストにアクセスするようになっ てしまう これは ISP に 問 題 があるというより ユーザーのプライベートネット ワーク 内 部 での 問 題 であるため ISP として 技 術 的 に 対 策 できることは 少 ない しかしながら プライベートネットワーク 内 の 設 定 を 一 切 変 更 し なくても 新 gtld の 登 録 を 契 機 に 突 然 発 生 することから 不 調 の 原 因 が 内 部 で 利 用 している 勝 手 TLD やサーチリストにあることに 思 い 至 らず ISP のユーザーサポートに 問 い 合 わせがなされる 事 例 が 想 定 される その ため ISP では 問 題 の 切 り 分 け 手 順 やその 解 決 方 法 (ないしは 解 決 方 法 へ のポインタ)を 適 切 に 回 答 できるよう 準 備 しておくことが 望 ましい 13
(2) エンドユーザー 向 けサービスの 挙 動 の 変 化 ISP が 自 社 ユーザー 向 けのサービスを 勝 手 TLD を 使 ったドメイン 名 例 えば www.service.isp で 提 供 しているケースがある その 勝 手 TLD.isp と 同 じ 新 gtld の.isp が 登 録 された 場 合 その ISP のキャッシュ DNS サ ーバーは.isp の 名 前 を ISP 内 部 で 解 決 するため ISP のエンドユーザー は 新 gtld.isp を 使 ったドメインにアクセスできないという 問 題 が 生 じ る( 図 5) 図 5 ISP 提 供 サービスで 勝 手 TLD を 利 用 している 場 合 に 発 生 する 問 題 これに 対 策 するためには 自 社 ユーザー 向 けサービスで 利 用 する 名 前 空 間 に 勝 手 TLD を 使 うのを 止 め 正 規 に 登 録 されたドメイン 名 でサービ ス 提 供 するように 改 めればよい なお 単 に 利 用 するドメイン 名 を 変 更 するだけでなく エンドユーザ ーにクライアント 側 の 設 定 やブックマークなどを 変 更 してもらわなけれ ばならない 場 合 もあるので 変 更 の 際 にはユーザーに 対 して 十 分 な 事 前 周 知 が 必 要 になる (3) ISP 内 部 ネットワークでの 勝 手 TLD また ユーザー 向 けではなくとも ISP の 内 部 用 途 で 利 用 されている 名 前 に 勝 手 TLD を 利 用 している 場 合 に もしエンドユーザーが 利 用 してい 14
るキャッシュ DNS サーバーで 勝 手 TLD の 名 前 が 解 決 できるようになって いると 勝 手 TLD と 同 じ 新 gtld が 登 録 されても エンドユーザーは 新 gtld の 名 前 空 間 にアクセスすることはできない( 図 5) こちらについても 内 部 ネットワークでの 勝 手 TLD の 利 用 を 止 め 正 規 に 登 録 されたドメイン 名 を 利 用 するように 改 めればよい ISP の 内 部 向 けキャッシュ DNS サーバーでのみ 勝 手 TLD を 名 前 解 決 する ようにして エンドユーザー 向 けキャッシュ DNS サーバーではパブリッ クな gtld を 名 前 解 決 するようにするという 方 策 によっても ユーザーが 新 gtld にアクセスできないという 事 象 は 発 生 しなくなる しかし その 場 合 でも 内 部 ネットワークにおける 名 前 衝 突 問 題 は 解 決 できないので 根 本 的 対 策 にはならないことに 留 意 しなければならない ISP が 勝 手 TLD をエンドユーザー 向 けに 提 供 している 場 合 これを 変 更 しよう とするには 非 常 に 多 くのサポート 等 のコストが 発 生 するため 計 画 的 に 実 施 す る 必 要 がある 6.3 ネットワーク 製 品 や 情 報 家 電 等 のベンダー ルータなどのネットワーク 製 品 や 情 報 家 電 ソフトウェアなど ネットワー クに 接 続 される 製 品 で 勝 手 TLD を 使 っている 場 合 新 gtld の 追 加 と 使 用 開 始 に 伴 い これまで 問 題 なく 使 えていた 機 能 がある 日 突 然 使 えなくなり ユーザー からの 問 い 合 わせ 苦 情 が 発 生 し 得 る 具 体 的 には 下 記 のような 場 合 が 想 定 される (1) エンドユーザーの 意 図 したホストにアクセスできない ルータ 等 の 製 品 において アクセスを 簡 便 化 するために 勝 手 TLD を 利 用 している 場 合 がある 例 えば 製 品 の 設 定 に 際 し http://www.set-up/ でアクセスするようにし 各 種 設 定 を 行 うという 方 法 を 採 用 している 製 品 をここでは 想 定 する( 次 ページ 図 6) 15
図 6 ルータで 勝 手 TLD を 使 っている 場 合 に 発 生 する 問 題 この 際 新 gtld として.set-up を 追 加 された 場 合 には この 製 品 配 下 では 新 gtld.set-up へのアクセスができないと 考 えられる 同 様 にイ ンターネットへの 通 信 をプロキシするソフトウェアにおいても 設 定 画 面 に 勝 手 ドメイン 名 でアクセスするような 場 合 についても 同 様 な 問 題 が 発 生 する また 新 gtld.set-up 上 で 悪 意 のあるサイトが 構 築 された 場 合 フィ ッシングに 似 た 形 でのセキュリティの 懸 念 が 発 生 する 勝 手 TLD.set-up を 使 う 製 品 配 下 のユーザーは 新 gtld.set-up へのアクセスができない としても それ 以 外 のユーザーはこの 新 gtld にアクセスが 可 能 であるた めに 誤 認 したユーザーがアクセスすることで フィッシングやドライ ブバイダウンロード 14 等 の 被 害 に 遭 う 可 能 性 がある これらネットワーク 製 品 等 においては 勝 手 TLD を 使 って 設 定 を 行 う ような 実 装 は 名 前 衝 突 問 題 を 引 き 起 こす 可 能 性 があるため 下 記 のよ うな 対 策 を 行 うのがよい 1) IP アドレスでのアクセス 誘 導 http://192.168.10.1/ 等 のプライベートネットワークで 設 定 画 面 にアクセスさせる 14 Web サイトを 閲 覧 しただけで 利 用 者 のパソコンにコンピュータウイルス(マルウェア)を 感 染 させる 手 法 16
2) 設 定 用 アプリケーションでの 設 定 設 定 用 アプリケーションを 配 布 し このアプリケーションでネッ トワーク 内 の 機 器 を 検 出 し 設 定 を 行 う いずれにせよ 設 定 変 更 にはユーザーのサポートコストがかかるだけ でなく 問 題 が 生 じた 場 合 原 因 がルータにあると 認 識 できないエンド ユーザーはまず ISP に 対 して 連 絡 をすると 考 えられるため 業 種 を 越 え た 連 携 が 必 要 になる 6.4 パブリック 認 証 局 およびその 代 理 店 証 明 書 利 用 時 においても 名 前 衝 突 によって 生 じる 一 般 的 な 問 題 は 発 生 し 得 るが 証 明 書 特 有 の 問 題 が 発 生 することはない ただし 名 前 衝 突 問 題 を 回 避 するために 証 明 書 を 発 行 する 認 証 局 はいくつ かのルールを 定 めている 本 節 では このルールとそれを 遵 守 する 上 で 留 意 す べき 点 についてまとめる パブリック 認 証 局 およびその 代 理 店 等 は 下 記 のルールに 従 う 必 要 がある これは CA/Browser Forumの 規 定 した 証 明 書 発 行 基 準 である BR(Baseline Requirements) 15 に 基 づくルールである パブリック 認 証 局 およびその 代 理 店 が 遵 守 すべきルール 既 にWebTrust for CAにも 適 用 されているBR v1.1 16 では 1) 2012 年 7 月 1 日 以 降 に 発 行 される 勝 手 ドメイン 名 を 対 象 とする 勝 手 ドメ イン 名 証 明 書 の 有 効 期 限 は 2015 年 11 月 1 日 以 降 であってはならない 2) すべての 勝 手 ドメイン 名 証 明 書 は 2016 年 10 月 までに 失 効 されなければ ならない さらに その 後 の 改 訂 により 17 新 gtldの 追 加 に 関 連 して 以 下 の 規 定 が 追 加 さ 15 Baseline Requirements Documents CAB Forum https://cabforum.org/baseline-requirements-documents/ 16 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.1 https://cabforum.org/wp-content/uploads/baseline_requirements_v1_1.pdf 17
れた 3) ICANNから 承 認 された 新 gtldを 含 む 証 明 書 については ICANNとレジスト リとの 契 約 公 開 から30 日 以 内 に 発 行 ( 再 発 行 および 更 新 も 含 む)が 停 止 される また120 日 以 内 に 同 新 gtldを 使 用 したすべての 証 明 書 が 失 効 される パブリック 認 証 局 およびその 代 理 店 が 留 意 すべき 点 前 述 のいわゆる30 日 120 日 ルールの 起 点 となる 契 約 公 開 の 日 付 (Publication of Contract)は ICANNの 下 記 ページ 18 で 公 開 されている(このリストは 不 定 期 継 続 的 に 更 新 される) これはICANN 自 身 が 契 約 後 速 やかに 更 新 しているページで あり 今 後 ICANNからこれよりも 適 切 なURLが 提 供 されない 限 りは このURLをエ ビデンスとして 運 用 を 行 っていくことが 望 ましい Publication of Contractに ついては 情 報 の 真 正 性 という 観 点 から 特 段 の 理 由 がない 限 りICANN 以 外 のWeb サイトに 依 拠 することは 避 けるべきである 少 なくとも 2015 年 10 月 1 日 以 降 は 勝 手 ドメイン 名 証 明 書 をパブリック 認 証 局 から 入 手 することは 完 全 にできなくなる( 本 規 制 が 開 始 される 以 前 に 発 行 された 有 効 期 間 が 2015 年 10 月 1 日 を 越 える 勝 手 ドメイン 証 明 書 も 一 部 存 在 するが これらは 2016 年 11 月 1 日 までに 失 効 される 予 定 である) また 現 在 利 用 している 勝 手 TLD が 今 後 新 gtld として 承 認 された 場 合 当 該 ドメイン 名 に 対 する 発 行 済 み 証 明 書 は ICANN とレジストリが 契 約 してから 120 日 以 内 に 失 効 され 利 用 できなくなる また 30 日 以 内 に 当 該 ドメイン 名 に 対 す る 証 明 書 の 発 行 ( 再 発 行 および 更 新 も 含 む)が 停 止 される このため 勝 手 ドメイン 名 証 明 書 をパブリック 認 証 局 から 入 手 している 組 織 は こうしたリスクを 避 けるためにも 速 やかにパブリックな 名 前 空 間 のドメイ ン 名 へ 移 行 することが 推 奨 される 17 その 後 改 版 されて 1.1.7 となっている Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.1.7 https://cabforum.org/wp-content/uploads/brv1.1.7.pdf 18 Registry Agreements (by Date) ICANN https://www.icann.org/en/about/agreements/registries-date 18
6.5 SIer NIer SIer NIer に 関 しては 納 入 したシステムにおいて 本 節 のようなトラブルが 発 生 する 可 能 性 を 念 頭 に システム 改 修 の 提 案 をユーザーに 対 し 行 う 必 要 があ る また 今 後 についても 本 節 で 解 説 したような 問 題 が 発 生 しうることを 認 識 して システムの 提 案 構 築 を 行 っていただきたい 7. 最 後 に 新 gtld 大 量 導 入 による 名 前 衝 突 問 題 は 新 gtld の 申 請 者 にとどまらず 企 業 や 一 般 ユーザーなども 含 む 広 範 囲 に 影 響 を 与 える 可 能 性 がある この 問 題 が どの 程 度 実 際 の 被 害 を 発 生 させるのかは 不 透 明 な 点 があるが さまざまな 関 係 者 が 問 題 点 を 認 識 し 自 身 が 管 理 するシステムにおいて 本 問 題 が 発 生 するかを 確 認 し 適 切 な 対 応 を 行 うべきである 本 報 告 書 執 筆 時 点 で ICANN では 本 件 にかかる 議 論 が 継 続 されており 今 後 も 新 たな 解 決 方 法 やシステムで 考 慮 すべき 点 が 出 てくると 考 えられる 関 係 者 に おかれては こういった 情 報 も 継 続 的 に 確 認 していただきたい 19
8. 著 者 について 新 gtld 大 量 導 入 に 伴 う 問 題 点 を 検 討 するために DNS の 運 用 や 政 策 面 認 証 局 業 務 に 知 見 を 持 つ 専 門 家 によってチームを 発 足 し 検 討 対 策 の 提 言 として 本 報 告 書 を 執 筆 した 共 同 チェア 外 山 勝 保 NTT コミュニケーションズ 株 式 会 社 山 本 功 司 株 式 会 社 インターネットイニシアティブ / 日 本 DNS オペレーターズグループ(DNSOPS.JP) メンバ 秋 山 卓 司 クロストラスト 株 式 会 社 近 藤 和 弘 NTT コミュニケーションズ 株 式 会 社 佐 藤 新 太 株 式 会 社 日 本 レジストリサービス 島 岡 政 基 セコム 株 式 会 社 IS 研 究 所 松 浦 孝 康 株 式 会 社 日 本 レジストリサービス 松 崎 吉 伸 株 式 会 社 インターネットイニシアティブ / 日 本 ネットワーク オペレーターズ グループ(JANOG) 保 多 洋 NTT コム ソリューション&エンジニアリング 株 式 会 社 山 口 崇 徳 株 式 会 社 インターネットイニシアティブ ( 五 十 音 順 ) 事 務 局 ( 一 般 社 団 法 人 日 本 ネットワークインフォメーションセンター) 石 田 慶 樹 (ドメイン 名 分 野 担 当 理 事 技 術 部 長 ) 前 村 昌 紀 奥 谷 泉 是 枝 祐 (インターネット 推 進 部 ) 小 山 祐 司 岡 田 雅 之 ( 技 術 部 ) 20
9. 参 考 資 料 ICANN Web の 情 報 名 前 衝 突 に 関 するリソースと 情 報 https://www.icann.org/en/help/name-collision 名 前 衝 突 に 関 する FAQ https://www.icann.org/en/help/name-collision/faqs 名 前 衝 突 発 生 への 対 応 案 https://www.icann.org/en/groups/board/documents/resolutions-new-gtld -annex-1-07oct13-en.pdf IT 専 門 家 向 けの 名 前 衝 突 に 関 するアドバイス https://www.icann.org/en/about/staff/security/ssr/name-collision-mit igation-05dec13-en.pdf 名 前 衝 突 発 生 時 の 報 告 先 https://www.icann.org/en/help/name-collision/report-problems SSAC 文 書 (SAC045 057 062 064) https://www.icann.org/en/groups/ssac/documents 新 gtld 関 連 情 報 新 gtld 申 請 文 字 列 一 覧 https://gtldresult.icann.org/application-result/applicationstatus 新 gtld 委 任 済 み 文 字 列 一 覧 http://newgtlds.icann.org/en/program-status/delegated-strings gtld レジストリ 契 約 一 覧 ( 締 結 日 順 ) https://www.icann.org/en/about/agreements/registries-date JPNIC 発 表 資 料 名 前 衝 突 (Name Collision) 問 題 への JPNIC の 取 り 組 みについて https://www.nic.ad.jp/ja/topics/2014/20140121-01.html JPNIC 総 会 講 演 会 資 料 ( 配 布 資 料 および 動 画 ) 名 前 衝 突 (Name Collision)の 問 題 と 日 本 での 取 り 組 みについてのご 紹 介 https://www.nic.ad.jp/ja/materials/after/20140314/ 21