お客様各位
さくらインターネット株式会社
平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
さくらインターネットでは、レンタルサーバサービスやVPSサービスなどのサービスと
併せて、DNSサーバ機能をレンタルするネームサーバサービスを提供しております。
ネームサーバサービスにおいては、当社で取得頂いたドメインのほか、他のレジスト
ラで取得されたドメイン名を、当社の管理する広域分散されたネームサーバに登録する
ことができます。
その登録において、当社ではドメインの所有者確認を行っておりませんでしたが、
その影響について外部からの指摘や、社内調査によって判明した問題を鑑み順次仕様
変更等を行っております。
その問題点と対処内容、当社方針等についてご報告いたします。なお、本件は当社
のみならず大半の事業者においても同様のケースが報告されております。従いまして、
啓蒙も含め、一般論を交えた解説も併せてまとめております。
※以下の解説ではドメインに関する用語を統一しております。
親ドメイン:「example.jp」のようなドメイン
子ドメイン:「sub.example.jp」のようなサブドメイン
1. 所有者確認を行わないゾーンを登録することに起因する問題
当社のネームサーバサービスでは、当社で取得されたドメイン名の場合には所有者
であるか否かを会員IDによって判別しております。しかし、当社以外で取得された
場合は、所有者の確認を行っておりません。
DNSの場合、上位のネームサーバから権限委譲される形で、ドメイン名を構成して
いることから、所有者以外(第三者)が当社にドメイン登録したとしても権限委譲
されていない限り、第三者がドメインを利用することはできません。
しかしながら、所有者確認を行わない場合にいくつかの問題が発生するケースが
あり、ケースごとの解説と当社の状況を以下に示します。
■キャッシュサーバと兼用されている場合
ゾーンを登録したネームサーバ(権威サーバ)と、キャッシュサーバを兼用され
ている場合には権限委譲されていないゾーン情報であったとしても、このサーバを
キャッシュサーバとして利用しているユーザからは有効となります。
これは、ネームサーバソフトウェアが上位ネームサーバからの権限委譲の有無に
関わらず、ローカルで定義をしたゾーン情報を優先することから発生します。
なお、当社では2000年11月より兼用しない設定へ変更しており、この問題は
すでに発生いたしません。
■第三者がネームサーバに登録した状態で、後から所有者が登録する場合
第三者が当社のネームサーバへドメイン名を登録する際には、当社で同一のドメ
イン名が登録されていない限り、特に制限を行っていません。
しかし、所有者が当社のネームサーバへ登録しようとした際には、既にドメイン
が登録されていることから、当社のサービスをお申込み頂けない状況となります。
この場合には、当社のカスタマーセンターにおいて、所有者確認を行ったうえで
第三者の登録を削除することとなりますが、登録までに少々お時間を頂く
など、お手数をおかけする状況になっております。
■第三者がネームサーバに登録したまま、権限が委譲された場合
第三者が当社のネームサーバへドメイン名を登録したとしても、権限が委譲され
ない限りは有効になりません。
しかしながら、第三者にドメイン名を先に登録されている状態で、所有者が権限
の委譲設定を行った場合(いわゆるwhoisに当社ネームサーバを登録した
状態)には、第三者が登録したドメインも利用できるようになり、これは子ドメ
インにおいても同様です。
例えば、当社へ移転する予定のドメインを何らかの手段で事前に察知し、ゾーン
登録を行っておけば、所有者に気づかれることなく、子ドメインを乗っ取れる
可能性があります。
当社では、2012年4月に外部からの指摘を受けて調査を行い、同様の状況が400件
程度存在することを確認しておりますが、多くは会員IDの譲渡などに伴うもので
あり、不正登録とみられるものは確認されませんでした。
しかしながら、同様の状況が続くことにより不正な利用が発生する可能性がある
ため、子ドメインが先に登録されている場合には、同一会員である場合を除き
ゾーン登録が出来ないように修正しております。
なお、これにより所有者が気づかないままドメインが乗っ取られる状況は防げま
すが、本来の所有者の方がサービスを利用できずカスタマーセンターでの対応が
必要となるため、前項のケースと同様に所有者の方にお手数をおかけすることと
なります。
■権限が委譲された状態で、第三者によって子ドメインを登録された場合
権限が委譲された状態では、そのネームサーバにおいてゾーン登録を行う事に
よって、ドメインがインターネットで利用可能な状態になります。
この状態で、同一のネームサーバに第三者が子ドメインを登録するとその子ド
メインもインターネットで利用可能となります。
当社においては、子ドメインの登録を行えるのは、親ドメインの会員IDと同一
の場合のみとしておりますので、この問題は発生しません。
ただ、既に障害報告において掲載しておりますとおり、2012年06月08日から6月
13日にかけて、プログラム修正時の不具合によって、この問題が顕在化する
脆弱性が発生しておりました。
▼障害:DNSサービスへのドメイン登録時における不具合について
http://support.sakura.ad.jp/mainte/newsentry.php?id=7613
なお、12件問題のある状況が発生していましたが、その後の調査により不正な
登録は無いことを確認しております。
これらの状況を踏まえて、現状では以下のような登録制限を行っております。
・当社会員IDに紐づいて管理されているドメインの場合、その所有者以
外はネームサーバへ登録できない
・登録しようとしているドメインの親ドメインが、別の会員IDのお客様
によって登録されている場合は、登録が出来ない
・登録しようとしているドメインの子ドメインが、別の会員IDのお客様
によって登録されている場合は、登録が出来ない
・登録しようとしているドメインの親ドメインが当社ネームサーバに委
譲されている場合には登録出来ない
・登録しようとしているドメインが当社ネームサーバと他のネームサー
バの両方に委譲されている場合には登録出来ない(いわゆるセカンダリ
設定がされている場合)
以上のような対策により、不正な利用を防ぐ対策を行っております。
2. 既に利用されていないゾーンが残存している
当社のネームサーバでは、登録されているゾーン情報のうち既に有効でないものに
ついては定期的に削除作業を行っております。
しかしながら、定期的な削除作業については当社で取得頂いたドメイン名や、さく
らのレンタルサーバでご利用頂いている子ドメインに限られ、それ以外のドメイン
についてはお客様が能動的に削除手続きを行わない限り削除を行っておらず、この
ようなドメイン名が65,000件程度存在しています。
この状態では、他のネームサーバへ移転したにもかかわらず当社のネームサーバが
応答をし続けることにより、正しいサーバのIPアドレスが返されない状況となる
場合があります。
ただし、キャッシュサーバと兼用されていないことから、影響については限定的で
あると考えております。
現状、当社のネームサーバにおいては、ドメイン名の親子関係のチェックを厳格に行
うことにより、ゾーン登録におけるドメインの乗っ取りはできない状況にあります。
しかしながら意図しないDNSの動作やバグなどによって、問題が顕在化する可能性を
ゼロには出来ないと考えております。
また、第三者が先にドメインを当社のネームサーバに登録することで、本来の所有者が
当社サービスを利用開始される際にお手間を取らせる状況は変わっておりません。
ついては、当社で取得されたドメイン以外のネームサーバへの登録については、準備が
できた段階から、所有者確認を行う事によって、より厳格な運用へ移行することに致し
ます。
また、親ドメインと異なる会員IDで登録されている子ドメイン(約400件)につきま
しても、順次解消を進めております。
さらに、既に利用されていないゾーンの削除につきましても、順次開始いたしており
ます。加えて、当社のネームサーバに登録されていないにもかかわらず、NSレコードが
委譲されているものの調査についても開始いたします。
今回公開いたしました状況につきましては、当社のネームサーバに限らず多くの事業者
において発生している事象であります。
しかしながら、当社は100万近くのゾーンを擁し、サービスをご利用頂くお客様の数
も非常に多いことから、問題が顕在化しやすく、実際に脆弱性のご指摘を受ける状況
も発生いたしました。
今後、以上のような対策を踏まえて当社サービスの安全性をさらに高めるとともに、
魅力のあるサービスとして発展させて参ります。
News