gtld に関する現状と 名前衝突の問題 日本ネットワークインフォメーションセンター (JPNIC) 技術部小山祐司
新 gtld 1
新 gtld(1) gtld といえば古くは.com,.net,.org,.edu,.gov,.mil,.int インターネットの普及に伴う問題の顕在化 登録業務の独占 商標権 サイバースクワッティング etc. 2
新 gtld(2) 1998 年 ICANN 設立 ドメインネーム登録に競争を導入および促進すること 定款第 1 条 使命および基本的理念 第 2 項 基本的理念 2000 年の gtld 追加.biz,.info,.name,.pro,.museum,.aero,.coop 2003 年の gtld 追加.jobs,.travel,.mobi,.cat,.tel,.asia,.xxx 3
新 gtld(3) gtld の追加はされたものの 数が限定的 2008 年 ICANN 理事会 : 新 gtld 追加を承認 2012 年新 gtldの募集開始 要求事項や要件を満たせば誰でも登録可能に 2013 年ルートゾーンへの登録開始 4
新 gtld(4) 今回 (2012 年 ) の登録数は多数 申請数は約 1900 件 承認されたのは1300 件以上 2014 年 8 月末現在 ルートゾーンへの登録数は373 STRING WME PHARMACY GMX BOO DAD DAY FRL ING NEW MOV RSVP EAT MEME YOUTUBE HERE PROD ESQ IMMO PIZZA GMAIL GBIZ OTSUKA BUSINESS 企业 (xn--vhquv) chinese for "enterprise" NETWORK CLICK DIET HOW OOO UOL HELP HOSTING PROPERTY LTDA CERN CARAVAN SCA 广东 (xn--xhq521b) Chinese province of "Guangdong" 佛山 (xn--1qqw23a) Chinese city of "Foshan" BNPPARIBAS RESTAURANT CYMRU SARL GIFTS WALES TATAR TOP HEALTHCARE REALTOR WILLIAMHILL ONG PRAXI YANDEX AUCTION WHOSWHO KRD NGO NRA SPIEGEL LACAIXA LGBT GENT NRW SCB DEALS MELBOURNE CITY schmidt cuisinella ほか 5
名前衝突 (Name Collision) 6
セキュリティ上のリスク懸念 以前と比較して大量に gtld が増加 セキュリティ上のリスクが発生する懸念 イントラネット ( ローカルネット ) でプライベート目的でこれまで使われていないドメイン名を利用していた場合 www.corp. bb-router.home. など それらのドメイン名が新 gtldとして登録され重複するとdnsの挙動が変わる可能性 名前衝突 (Name Collision) 7
ルートサーバへのクエリ数 ( 申請された文字列 ) 2013 年の順位 2012 年の順位 検索文字列 件数 ( 千件単位 ) 1 1 home 952,944 2 2 corp 144,507 3 21 ice 19,789 4 4 global 10,838 5 29 med 10,801 6 3 site 10,716 7 5 ads 10,563 8 12 network 8,711 9 7 group 6,505 10 9 cisco 8,284 11 8 box 7,694 12 14 pord 7,004 13 6 iinet 5,427 14 10 hsbc 5,249 15 11 inc 5,208 16 18 win 5,199 17 13 dev 5,058 18 15 office 4,006 2013 年の順位 2012 年の順位 検索文字列 件数 ( 千件単位 ) 19 20 business 3,279 20 16 host 3,127 21 31 star 2,435 22 25 mail 2,383 23 19 ltd 1,990 24 23 google 1,859 25 169 sap 1,735 26 17 app 1,720 27 27 world 1,650 28 30 mnet 1,568 29 26 smart 1,331 30 33 web 1,126 31 32 orange 1,072 32 24 red 1,043 33 43 msd 956 34 37 school 872 35 39 bank 780 https://www.icann.org/en/about/staff/security/ssr/name-collision-02aug13-en.pdf 8
名前衝突 (Name Collision) の例 新 gtld の登録前 www.corp? 存在しない パブリック DNS プライベート DNS 9
名前衝突 (Name Collision) の例 新 gtld の登録後!? www.corp? 192.0.2.XXX パブリック DNS プライベート DNS 10
リゾルバの挙動 実際の OS での挙動 search list corp.example.com chicago.example.com www.corp を入力したときのDNSクエリ User > Resolver: A? www.corp. Resolver > User: NXDomain q: A? www.corp. User > Resolver: A? www.corp.corp.example.com. Resolver > User: NXDomain q: A? www.corp.corp.example.com. User > Resolver: A? www.corp.chicago.example.com. Resolver > User: NXDomain q: A? www.corp.chicago.example.com. User > Resolver: A? www.corp.example.com. Resolver > User: A? www.corp.example.com. 192.0.2.10 SAC064 SSAC Advisory on DNS Search List Processing 11
名前衝突 (Name Collision) よく似た話? プライベートIPアドレスの逆引き 10.inaddr-arpa? 回答無し blackhole (AS112) プライベート DNS 12
名前衝突 (Name Collision) よく似た話? 遅い 10.inaddr-arpa? (timeout) blackhole (AS112) プライベート DNS 13
対処方法 パブリックな TLD と重複することが原因 重複するドメイン名のクエリをインターネットに 問い合わせないようにする 該当する新 gtld へのアクセスができない FQDN を使用する システム変更やユーザへの告知が必要 14
名前衝突問題の周知 (JPNIC) 日本国内での周知活動 2014 年 1~3 月 新 gtld 大量導入に伴うリスク検討 対策提言 専門家チームを設立 検討を実施 6 月 提言を取りまとめた報告書を作成 公開 https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/ 15
最近の動向 16
最近の動向 (1) 2013 年 10 月 ICANNが名前衝突に関する計画案を発表 New gtld Collision Occurrence Management plan.corp,.home の委任無期限延期 名前衝突発生時の対応フレームワークを策定する レジストリが取るべき対応を策定する アウトリーチ活動を行う 17
最近の動向 (2) 2013 年 11 月 ICANN から JAS Global Advisors へ調査の依頼 2014 年 2 月 JAS Global Advisors によるレポートが提出される Draft "Phase One Report on Mitigating the Risk of DNS Namespace Collisions" https://www.icann.org/en/about/staff/security/ssr/name-collision-mitigation-26feb14-en.pdf 2014 年 2~4 月 JAS のレポートに対するパブリックコメントの募集 18
最近の動向 (3) 2014 年 6 月 ICANN SSAC による JAS のレポートへのコメント [SAC066] SSAC Comment Concerning JAS Phase One Report on Mitigating the Risk of DNS Namespace Collisions 2014 年 6 月 コミュニティやSSACなどのコメントを反映した JASレポートの最終版が提出される Final "Phase One Report on Mitigating the Risk of DNS Namespace Collisions" https://www.icann.org/en/system/files/files/name-collision-mitigation-study-06jun14-en.pdf 19
最近の動向 (4) 2014 年 7 月 ICANN 新 gtldプログラム委員会 (NGPC) によって JASのレポートを元にしたフレームワークを承認 Name Collision Occurrence Management Framework フレームワークの内容 取り組むべき枠組みについて規定 レジストリが実装する事項 ICANNが実装する事項 20
Name Collision Occurrence Management Framework 21
Name Collision Occurrence Management Framework (ICANN の対応 ) ICANN の実装する事項.corp,.home に加えて.mail も委任の無期限延期 名前衝突に関する情報提供 ルートサーバへの問い合わせ状況を観測し名前衝突が発生しているかどうか調査 もし危険な事象が発生することが判明した場合に 備えて緊急対応の手段を検討 IPv6 アドレスのリザーブアドレスの検討 ( 後述 ) 22
Name Collision Occurrence Management Framework ( レジストリの対応 ) レジストリの実装する事項 レポート体制の構築 ICANN からの要請に 2 時間以内に対応 委任開始から 2 年間実施 Controlled Interruption を実施すること 緊急避難のための ICANN の指名する back-end オペレータを容認すること 23
Controlled Interruption 名前衝突が起こっていることを周知する施策 委任の停止を 90 日間実施 TLD への問い合わせに対して ループバックアドレス 127.0.53.53 を応答する IPv6 アドレスには現状ループバックアドレスが ::1 以外にないため技術コミュニティと協力して リザーブアドレスを策定する 継続して行う 24
Wildcard Controlled Interruption 2014 年 8 月 18 日 (00:00 UTC) 以降に委任された gtld が実施する施策 A, MX, TXT, SRV の各レコードに名前衝突が発 生したことを知らせる値を設定 nic.tld は除く <TLD>. 3600 IN MX 10 your-dns-needs-immediate-attention.<tld>. * 3600 IN MX 10 your-dns-needs-immediate-attention.<tld>. <TLD>. 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.<tld>. * 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.<tld>. <TLD>. 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision" * 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision" <TLD>. 3600 IN A 127.0.53.53 * 3600 IN A 127.0.53.53 25
SLD Controlled Interruption 2014 年 8 月 18 日 (00:00 UTC) 以前に委任された gtldが実施する施策 SLD block listに含まれるラベルについて A, MX, TXT, SRVの各レコードに名前衝突が発生したことを知らせる値を設定 <label>.<tld>. 3600 IN A 127.0.53.53 <label>.<tld>. 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.<tld>. <label>.<tld>. 3600 IN MX 10 your-dns-needs-immediate-attention.<tld>. <label>.<tld>. 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision" your-dns-needs-immediate-attention.<tld>. 3600 IN A 127.0.53.53 26
Controlled Interruption の実施時期 開始は2014 年 8 月 18 日 12:00 UTC 以降 ICANNは各 TLDが実施しているかどうか監視 監視はゾーンファイルが対象 レジストリは ICANN にファイルを提出 レジストリはControlled Interruptionに関して契約上の免責 dotless domain ( <TLD>. A 192.0.2.1 ) wildcard ( *.<TLD>. A 192.0.2.1 ) 27
最後に 名前衝突が起きていないかご確認を アクセスログなどに 127.0.53.53 や your-dns-needs-immediate-attention.example. といったログが残っていたら注意 SLD のブロックリストに登録されたドメイン名も 解除可能に Controlled Interruption, 商標問題などがクリアできれば ローカルネットワークで使用可能な ドメイン名の検討 (IETF) プライベート IP アドレスのドメイン名版? 28
参考資料 名前衝突 (Name Collision) 問題 https://www.nic.ad.jp/ja/dom/new-gtld/name-collision/ Name Collision Resources & Information https://www.icann.org/namecollision Name Collision Occurrence Management Framework https://www.icann.org/en/system/files/files/name-collisionframework-30jul14-en.pdf NAME COLLISION OCCURRENCE ASSESSMENT http://newgtlds.icann.org/sites/default/files/agreements/namecollision-assessment-04aug14-en.htm 29