B5 日本DNSオペレーターズグループ BoF開催報告

BoF名 日本DNSオペレーターズグループ BoF
BoF開催団体 DNSOPS.JP
開催日時 2017年11月30日19:00~20:30
参加者数 約70名
BoFの概要

アジェンダ

  1. オープニング
  2. Dynamic DNS サーバのリソースレコードを改ざんする攻撃 ~ zone poisoning ~
  3. 世界と日本のDNSSEC
  4. qname色々
  5. ドメイン名とDNS -ドメイン名のLCM Updateー
  6. DNSサービスダイバーシティ

発表・質疑(サマリ)

0. オープニング

<米谷 嘉朗さん>

DNS Summer Day 2017で行ったBIND脆弱性情報をISCに事前リークしてほしいという日本のコミュニティの意見をISCにインプットし、その結果を報告した。
結論としてISCからは、 BIND Subscription以外での情報提供は難しいという回答だったが、 日本のコミュニティからの意見が得られたことにはとても感謝しているとの反応ももらえたとのこと。

1. Dynamic DNS サーバのリソースレコードを改ざんする攻撃 ~ zone poisoning ~

<田中 信太郎さん、谷 知亮さん>

Dynamic DNSにおけるzone poisoningの手法と対策、 それに対するJPCERT/CCでの対応事例が紹介された。 Dynamic DNSのセキュリティ設定を確認してみることも推奨され、 今後も継続して調査していきたいとのことであった。
会場からはDNS運用者からの意見や、 動作・挙動に関する情報共有が活発に行われた。 またJPCERT/CCが行った本件の注意喚起への返答が40組織中5組織のみであったこともあり、 リーチできていない層の運用者に対してどのようにセキュリティ周知をしていくかも今後の課題であることが紹介された。

2. 世界と日本のDNSSEC

<山口 崇徳さん>

Alexa Top 1Mにリストされている100万のドメインを対象に、 DNSSECの普及状況を調査した結果が報告された。 TLDによってDNSSECの対応状況に差はあるが、 .jpドメイン名に対する普及状況は平均を大きく下回る数値であり、 まだまだ普及は先かもしれない。

3. qname色々

<松崎 吉伸さん>

障害発生時の切り分けに便利なqnameが紹介された。 実装は各組織やサー バーの設定に依存しているため、 今後も挙動や応答が変わらないという保証はないが、 知っておくとトラブルシューティングなどで活用できる。 会場からは、これらのqnameをどのように見つけるのか、 という質問が挙がった。 IIJ松崎さんは、 さまざまなMLをウォッチすることでトラブルの事例とそれに対するトラブルシューティング方法が紹介されることが多く、 便利なものをストックしているとのこと。

4. ドメイン名とDNS -ドメイン名のLCM Updateー

<石田 慶樹さん>

Internet Week 2016のDNS DAYでの発表からのアップデートが報告された。 ドメイン名のドロップキャッチにより、 ドメイン名が悪用されるケースが多い現状から、 使い捨て感覚でドメイン名を登録しないよう呼びかけるとともに、 資料の常時公開も視野に入れることを言及した。
会場から、 JPRSの指定事業者セミナーでも注意喚起が行われたという情報共有が行われた。

5. DNSサービスダイバーシティ

<高嶋 隆一さん>

権威DNSを複数社のサービスを使ってダイバーシティを確保しつつ構築することによって、 自社サービスを保護する方法と、それを行う上での検討事項が紹介された。
ポイントは「オンプレを含む複数のサービスを利用すること」 「DDoS対策のできるDNSサービスプロバイダーを選ぶこと」 「データ同期は、あえてAXFR/IXFRのようなレガシーなスタイルで行い、 保守コストと将来のサービス変更を容易にすること」の3点とのこと。

総括/所感

今年も、脆弱性情報、統計調査、運用Tips、ドメイン名やサービスの維持など、 DNSのさまざまな観点から情報共有を行うことができ、 盛況のうちに幕を閉じることができた。

インターネットの重要な基盤技術であるDNSの構築・運用などに関わる技術者の意見交換や最新情報共有を行う場としてきわめて有効であり、 今後も継続して活動を続けたい。