ニュースレターNo.14/1999年8月発行
3.最新トピックス
3.3 JPドメインのDNSゾーン転送とドメイン名リスト等公開の停止措置とその後の状況
(データベース管理検討部会)
▼ 停止の背景
JPNICではJPドメインのプライマリサーバを運用しており、このDNSの情報(ゾーンファイル)には、JPドメイン空間のすべてのドメイン名と、それを管理しているDNSサーバの情報が含まれています。ゾーンファイルの情報はDNS のゾーン転送機能により取得することができ、この情報をもとにポートスキャン[1]などの悪意ある行為が行なわれる危険性がありました。
さらに、ゾーン情報から得られたドメイン情報でwhoisサーバを検索することで、JPドメインに関する全情報を網羅的に得られるために、ダイレクトメールなどの情報源として利用される危険性もありました。
また、FTPなどで公開していたJPドメイン名リストとIPアドレスリスト(以下「リストファイル」)も同様の危険性を持っており、JPNICでは、JPドメイン情報及び逆引き情報のDNSゾーン転送の制限と、リストファイルの公開停止を行ないました。
▼ 停止までの流れと現状
| 1998/08/24 | データベース公開問題タスクフォースによる「JPNICのwhoisによる個人情報公開について」[2]の中で、「JPドメイン名一覧の一般公開廃止」についての見解公開 |
| 1998/11/30 | 「JPドメインのDNSゾーン情報及び逆引き情報転送停止のお知らせ」[3]における、停止スケジュールアナウンス |
| 1999/01/29 | 「JPドメインのDNSゾーン情報及び逆引き情報転送停止のお知らせ」再掲[4] |
| 1999/01/29 | 「JPドメインのDNSゾーン情報及び逆引き情報転送停止にともなうDNS情報転送継続のための例外的取り扱いについて」[5] |
| 1999/04/01 | 「JPドメインのDNSゾーン情報・逆引き情報転送停止及びJPドメインリスト等の配布停止について」[6]におけるスケジュールの変更と、例外措置の条件変更アナウンス |
| 1999/05/11 | 「DNSゾーン転送及びJPドメインリスト・IPアドレスリスト配布停止のお知らせ」[7]における、停止のアナウンス |
以上のように、5月11日をもってDNSのゾーン転送とリストファイルの公開は停止しました。1998年11月30日当初の予定では1999年2月1日より停止する予定でしたが、DNSの実装上の問題から利用者に多大な影響が出る危険性が判明しました。JPNICではインターネットにおけるDNSの重要性を考慮し、影響を最小限に押さえるために周知期間を設け、停止期日を5月11日まで延長しました。
1999年7月1日現在、DNSのゾーン転送停止に関連した障害は報告されていません。
▼ JPドメインのゾーン転送を行なっていたサーバ管理者の方へ
JPプライマリサーバのゾーン転送停止措置により、これまでJPプライマリサーバ、及び公式セカンダリサーバから直接ゾーン転送を行なっていたDNSでは、次のような問題が発生する可能性があります。
- 5月11日以後にJPプライマリDNSに登録されたドメインに関する情報が参照できない
- 5月11日以後に追加されたゾーン情報の参照ができない
- メールの受信に遅延が生じる
次の設定がされているDNSの管理者は、該当する設定を削除して下さい。
詳細はWWW「ゾーン転送停止にともなうDNSサーバの設定の確認について」[8]をご覧下さい。
- BIND 4.xの場合
- /etc/named.boot ファイルにおいて、
secondary jp XXX.XXX.XXX.XXX bak/jp.zone secondary SLD.jp XXX.XXX.XXX.XXX bak/SLD.zone
- BIND 8.xの場合
- etc/named.conf ファイルにおいて
zone "jp" { type slave; file "bak/jp.zone"; masters{ XXX.XXX.XXX.XXX; }; }; zone "SLD.jp"{ typeslave; file "bak/SLD.zone"; masters{ XXX.XXX.XXX.XXX; }; }; ※SLDは第2レベルドメイン(ac,co, …, 地域型など) XXX.XXX.XXX.XXXはIPアドレス
▼ DNSゾーン転送の例外措置について
DNSゾーン転送はJPNICからの依頼によって維持管理されている公式セカンダリサーバにのみ行なわれ、それ以外のサーバからの転送要求は受付けていません。公式セカンダリサーバも同様のポリシーに基づき、ゾーン転送を行ないません。1999年1月29日のアナウンス[5]では一定の条件のもとでDNSのゾーン転送を認める例外措置をとる予定でしたが、4月1日のアナウンス[6]の時点で原則禁止とさせていただきました。これは次の理由によります。
(1) 全ドメイン名のみならず、DNSサーバの情報が含まれているので、ポートスキャン等の情報源として利用された場合の影響が深刻である。
(2) DNSサーバ自体がゾーン転送のために無視できない負荷を受けており、安定的なサービスのためには不安要素を取り除く必要がある。
▼ リストファイルの提供と認証システムについて
リストファイルに関しては利用目的を審査し、次のような条件に合意する書面を取り交わしたうえで配布を行なっています。
- 利用は非営業目的に限る
- リストファイルの配布対象者のみの利用に限る
- 第三者に対して再配布を行なわない
- リストファイルを再構成できる形の成果物を公表しない
- 配布先と利用目的をJPNICのWWWサーバ上で公開する
- 配布の期間は2000年3月31日末日までとし、期間満了時に見直しを行なう
リストファイルの利用者に対してはJPNICの認証局(CA)からデジタル証明書が発行されます。利用者はこのデジタル証明書を用いてJPNICが提供する認証システムにアクセスすることでリストファイルを取得できます。この認証局・認証システムは実験的運用段階にあり、JPNICではこのようなデジタル証明書を利用した認証システムの運用を通して、将来的なデータベースへのアクセスコントロールの導入を計画しています。
リストファイルの配布に関する詳細についてはWWW「JPドメイン名リスト、IPアドレスリストの申請方法」[9]をご覧下さい。
▼ お問い合わせ先
DNSのゾーン転送・リストファイルの公開停止に関するお問い合わせ、リストファイルの利用申請などに関しては、次のメールアドレスにお願いします。
[1] http://www.jpcert.or.jp/info/98-0004/
[2] http://www.nic.ad.jp/jp/topics/archive/19980824-01.html
[3] http://www.nic.ad.jp/jp/topics/archive/19981201-01.html
[4] http://www.nic.ad.jp/jp/topics/archive/19990129-01.html
[5] http://www.nic.ad.jp/jp/topics/archive/19990129-02.html
[6] http://www.nic.ad.jp/jp/topics/archive/19990401-01.html
[7] http://www.nic.ad.jp/jp/topics/archive/19990512-01.html
[8] http://www.nic.ad.jp/jp/db/check-request.html
[9] http://www.nic.ad.jp/jp/db/application.html