===================================
__
/P▲ ◆ JPNIC News & Views vol.1169【定期号】2014.2.17 ◆
_/NIC
===================================
---------- PR --------------------------------------------------------
◆◇◆遠隔地リモートバックアップなら【鉄道情報システム株式会社】◇◆◇
大容量データも重複除外処理で効率的に遠隔地へリモートバックアップ
お客様のニーズに合わせたバックアップソリューションをご提案
「安全」「安心」なJRシステムデータセンターをご活用ください!
◆◇◆ http://www.jrs.co.jp/article.php/products_remotebackup ◆◇◆
----------------------------------------------------------------------
---------- PR --------------------------------------------------------
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃Internet Week 2013 本日、プレゼンテーション資料公開公開!! ┃
┗┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━┻━━━┓
┃ ★ https://www.nic.ad.jp/ja/materials/iw/2013/proceedings/ ★ ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1169 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ICANNにより「新gTLDプログラム」が実施されたことにより、今後1,000を超
える新gTLDが追加される見込みとなっています。この新gTLDの大量導入に伴
い、「名前衝突(Name Collision)」と呼ばれる新たな問題の発生が懸念され
ており、JPNICでもこの問題を検討するための専門化チームを発足させまし
た。
本号では、この名前衝突と呼ばれる問題がどのような問題なのかを説明した
上で、JPNICでの本問題への取り組みについて紹介するとともに、JPNIC新gTLD
大量導入に伴うリスク検討・対策提言専門家チーム共同チェアの山本功司氏
のコラムと、インターネット用語1分解説でも、「内部利用を目的としたドメ
イン名の証明書」について取り上げています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集 「新gTLDの大量導入に伴う名前衝突(Name Collision)と、JPNIC
の対応」
【 2 】News & Views Column
「自由と責任」
株式会社インターネットイニシアティブ 山本功司氏
【 3 】インターネット用語1分解説
「内部利用を目的としたドメイン名の証明書とは」
【 4 】統計資料
1. JPドメイン名
2. IPアドレス
3. 会員数
4. 指定事業者数
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集 「新gTLDの大量導入に伴う名前衝突(Name Collision)と、JPNIC
の対応」
JPNIC インターネット推進部 是枝祐
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 新しい仕組みに基づいたgTLDの大量導入
新しいgTLD (generic Top Level Domain; 分野別トップレベルドメイン)の導
入を大きな目標の一つに掲げるICANN (The Internet Corporation for
Assigned Names and Numbers)では、1998年の設立以来3回にわたり新gTLDを
追加してきています。
その中でも、3回目となる2012年の募集は「新gTLDプログラム」と呼ばれ、過
去2回の募集とは違い、あらかじめ募集要項と要件が詳細に文書化されてい
て、それに沿った申請であれば登録を認める(これを「準則的な承認」と呼ん
でいます)というように、募集の方法が変更されました。また、追加するgTLD
の数についても、特に上限は設けられませんでした。
そのため、2012年1月から4月にかけて行われた本プログラムに基づく1回目の
募集では1,930件もの応募があり、準則的な受け付けがなされたことから、そ
のうちのかなりの数、本稿執筆時点では最終的に1,400件程度のgTLDが追加さ
れると見込まれています。
■ 新gTLDの大量導入に伴う「名前衝突」という新たな懸念
このような「新gTLDプログラム」の実施により、今回、非常に多くの新gTLD
が追加されることになったわけですが、それにより発生する可能性のある、
新たなセキュリティリスクが懸念されています。
その中でも、「名前衝突 (Name Collision)」と呼ばれる現象が、差し迫った
問題として認識されています。この「名前衝突」とは、ある組織内のネット
ワークで利用している名前と、パブリックなDNSで利用しているドメイン名
が衝突してしまう現象です。これまで、「既存のgTLDとしては存在も利用も
されていないから重複する恐れがない」として、ある組織内のネットワーク
やサーチリストなど利用されていた名前が、新gTLDのドメイン名としてルー
トゾーンに新しく追加されてしまうことにより、この名前衝突が発生します。
この名前衝突が生じると、組織内ネットワークの機器などをホスト名で指定
した場合の通信先や、DNSなどによる名前解決の結果が、本来意図していたも
のと異なる結果になり、「通信ができなくなる」「目的以外の機器と通信を
してしまう」といった事態が起こり得ます。通信ができなくなることも問題
ですが、本来意図していない相手と通信してしまった場合は、内部向けの情
報が外部に流出してしまう恐れがあります。
■ 内部利用を目的としたサーバ証明書への影響
名前衝突によって起こり得る問題としては、上記のような通信の可否による
ものだけでなく、SSL (Secure Sockets Layer)などを用いた通信などで利用
される、特定のサーバ証明書に関する問題が懸念されています。
一般にサーバ証明書と言えば、外部に公開するWebサイトでの利用など、公
開サーバで用いる外部利用を目的としたものが一般的です。しかし、社内シ
ステムでの利用など、内部利用を目的とした証明書も中には存在します。
これらの内部利用を目的とした証明書で利用されている名前と、新gTLDのド
メイン名として利用される名前が衝突した場合、Webサーバの認証において、
ドメイン名と一致する名前を利用した内部利用目的での証明書を利用して、
フィッシングを行う等の悪用による、セキュリティ上の脅威となる可能性が
あります。
そもそも、これまでは内部利用目的であれば、実在するgTLDと同じ名前を付
けたサーバ証明書であっても、発行を受けることができました。ただし、こ
れまではgTLDの数が限られていたため、名前衝突が起こったとしても、その
影響も比較的限定的でした。しかし、今回の新gTLD大量導入により、リスク
が飛躍的に高まります。そのため、各認証局では、今後gTLDとして委任され
た名前と同じ名前を持つ証明書は、内部利用目的であっても失効させる方針
を採っています。もし、そのような証明書を利用していて、自組織の証明書
が失効した場合は、多大な影響が及ぶ可能性があります。
この内部利用を目的とした証明書と新gTLDの名前が衝突するという問題に関
しては、ICANNのセキュリティと安定性に関する諮問委員会 (Security and
Stability Advisory Committee; SSAC)により勧告(*1)が出されたことから、
大きく世間の注目を集めることになりました。
(*1) "ドメイン名を中心としたポリシーレポート"第10号
新gTLDの導入に伴う「内部利用目的での証明書への影響」に関するSSAC
による勧告について
https://www.nic.ad.jp/ja/in-policy/policy-report-201307.pdf
■ 「名前衝突」問題の影響範囲
もともと、組織の内側に閉じた内部ネットワークにおいては、既存のgTLDと
重複しない任意の名前を、社内のサーバやプリンタなどの機器にホスト名や
ドメイン名として付けて運用している個人・組織はそれなりの数がいると考
えられます。
一方、内部ネットワークでの名前の利用形態は、インターネット上から調査
することはできないため、実際にどのぐらい影響があるのかについては、個
別の事例を収集しない限り、現時点で確かなことはわからないと言われてい
ます。
ただ、上記のように実際に「名前衝突」が発生した場合の影響は決して無視
できるものではありません。そして、その影響は新gTLDのレジストリ(登録事
業者)になろうとしてICANNに申請を行う申請者だけでなく、それ以外の企業
内ユーザーや一般的なユーザーにまで広がる可能性が十分あります。
■ 本問題に対するICANNの対応
このように、問題が広範囲に影響を与える可能性があるため、ICANNではこの
問題に関するさらなる調査と、幅広い関係者への周知を進めています。新gTLD
として申請されたドメイン名のうち、特に.homeおよび.corpは、ルートゾーン
への検索件数が、他を大きく引き離して多いため、衝突に伴う影響が大きい
と考えられ、ICANNではこれらのドメイン名の委任を無期限で保留とすること
を決定しています(*2)。それに加え、名前衝突に関する情報ページ(*3)を開
設したほか、IT技術者向けに技術文書(*4)を公開しています。
(*2) "NEW GTLD COLLISION OCCURRENCE MANAGEMENT"
http://www.icann.org/en/groups/board/documents/resolutions-new-gtld-annex-1-07oct13-en.pdf
(*3) Name Collision Resources & Information
http://www.icann.org/en/help/name-collision
(*4) Guide to Name Collision Identification and Mitigation for IT
Professionals
http://www.icann.org/en/about/staff/security/ssr/name-collision-mitigation-05dec13-en.pdf
■ JPNICによる本問題に対する取り組み
上記のICANNによる対応だけでなく、JPNICでも本問題に対する検討を始めて
います。
名前衝突の問題は、これまで説明したように企業や一般ユーザーにまで影響
を与える可能性がある一方、新gTLDにおける商標保護などの問題と比べると
世間に広く知られているとは言いがたい状況です。加えて、実際に問題が起
こった場合、どこでどの程度の問題が起こるのかも現時点では不透明です。
そこで、国内での本問題の検討および周知を目的として、JPNICでは専門家
チームを設立して活動を開始しました。本チームは、DNS運営技術や政策や、
gTLDに関する政策、セキュリティなどの関する高い知見を持つメンバー、計
10名により構成され、下記のような活動を目的としています。
名称 :「新gTLD大量導入に伴うリスク検討・対策提言専門家チーム」
活動内容: - 新gTLDの大量導入に関する動向把握
- 名前衝突に関するリスクの調査および対策の検討
(*) 内部利用目的でのサーバ証明書の発行に伴う影響も対象
に含みます
- 上記に基づいた文書・対策提言の策定
この専門家チームの活動は2014年3月までを予定しており、報告書がまとまり
しだいWebで公開いたします。なお、期間終了後もJPNICによる周知等の活動
は継続していく予定です。
名前衝突(Name Collision)問題へのJPNICの取り組みについて
https://www.nic.ad.jp/ja/topics/2014/20140121-01.html
JPNICでは、名前衝突などの問題に限らず、新gTLDに関する幅広い情報を、
Webやメールマガジン、本ニュースレター等を通じて提供していく予定です。
JPNICの今後の取り組みなど本問題に関する事柄や、それ以外の新gTLD全般に
関することでも結構ですので、何かご意見、ご質問などがありましたら、下
記の問い合わせ窓口までお気軽にご連絡ください。
□ 問い合わせ窓口
domain-query@nic.ad.jp
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本特集のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/1169/9f9f6e976830de20cb2fef659cb26ef4┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/1169/80d47afd2c4ac753b6d454df27a76501┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 2 】News & Views Column
「自由と責任」
株式会社インターネットイニシアティブ 山本功司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ISPのエンジニアとして、あるいは一人のインターネットユーザーとして、イ
ンターネットはすべての宛先に、すべてのプロトコル/ポートで自由に通信で
きるものであってほしいと思ってきました。今でもその思いに変わりはない
のですが、果たして一般のインターネット利用者、特にエンドユーザーもそ
う考えているのか、疑問に思うことがあります。
「自由には責任が伴う」というフレーズを思い出し、エンドユーザーが望ん
でもいない自由と一緒に責任まで押し付けてしまっているのではないか。ISP
は勝手にインターネットの可能性を狭めるべきではないでしょうが、あくま
でもプレーンな、なんでもできるけどそれだけ責任も重い環境をデフォルト
として提供していくことは、そろそろ考え直していかなければいけない時期
にきているのではないか、そう自問自答することが多くなってきています。
一般家庭で利用できる回線のスピードも日々早くなり、100Mbpsを超える回線
が利用できる環境も増えてきています。快適に動画が見られる素晴らしい環
境である一方、それだけの攻撃トラフィックを生み出すポテンシャルを持っ
ているわけですが、そんなことを意識して使っているユーザーはほとんどい
ないでしょう。踏み台に使われてしまったユーザーに、ウイルスチェック、
脆弱性の対策をお願いする一方で、そもそもユーザーとしては「そんなメン
ドクサイことしないとネットは使えないの?」と思ってたりはしないのだろ
うか、ふと考えたりします。
本来のプレーンなインターネットを望むユーザーに対しては、ISPとしてそれ
を提供するのが責務です。しかし、デフォルトのメニューはどうあるべきな
のか、ISPとしてもっと踏み込んで責任を引き受けるべき時期にきているので
はないかという思いが徐々に強くなってくる今日この頃です。
■筆者略歴
山本 功司(やまもと こうじ)
株式会社インターネットイニシアティブ(IIJ) プロダクト開発部。1998年よ
りIIJに勤務。アメリカ(IIJ America)駐在後、サーバインフラの運用、メー
ルやDNSなどのサービス開発、運用に従事。JPNIC新gTLD大量導入に伴うリス
ク検討・対策提言専門家チーム共同チェア。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 3 】インターネット用語1分解説
「内部利用を目的としたドメイン名の証明書とは」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
企業や大学などの組織のネットワークでは、DNSルートゾーンを基点としたグ
ローバルなDNSで検索できないようなドメイン名が使われることがあります。
これは内部利用を目的としたドメイン名 (Internal Domain Name/Internal
Name)と呼ばれ、「.site」や「.local」「.home」といったものがあります。
ICANNにおける諮問委員会の一つである「セキュリティと安定性諮問委員会
(Security and Stability Advisory Committee、SSAC)」が2013年3月にまと
めた調査によると、この内部利用を目的としたドメイン名が入ったSSL/TLSの
サーバ証明書は、157の認証局によって37,000以上発行されていると述べられ
ています。内部利用を目的としたドメイン名は、ドメイン名のレジストリに
登録されたり、グルーバルなDNSで検索できたりするものではないため、ドメ
イン名が重複していないかを、証明書を発行する認証局では確認できません。
SSACによる勧告であるSSAC057(*1)では、新gTLDの登録開始に伴って、新しく
gTLDとして登録されたドメイン名と、gTLD登録以前から企業などの内部で利
用されていたローカルなドメイン名がまったく同じになることがあるため、
セキュリティ上の問題が発生する可能性が指摘されています。
例えば、既に発行されている内部利用を目的としたドメイン名を持つサーバ
証明書を使うと、中間者攻撃 (Man-in-the-Middle attack)が行いやすくなる
とされています。この中間者攻撃が行われると、ユーザーにはあたかも正し
いSSL/TLSの接続が行われているように見えるにも関わらず、実際には偽のWeb
サイトにつながっているということが起こり得ます。
この問題に対し、商用認証局の評価基準を策定しているCA/Browser
Forum (*2)では、「Baseline Requirement」と呼ばれる、サーバ証明書を発
行する際の確認要件に関する文書を改定しました。これによると、内部利用
を目的としたドメイン名の証明書は2015年11月1日までの有効期限のものしか
発行されなくなり、それ以前に発行されていた長い有効期限を持っている証
明書も、2016年10月1日には失効させることになっています(*3)。つまり2016
年10月には内部利用目的としたドメイン名の証明書がなくなることになりま
す。しかし、既に新gTLDは2013年からルートゾーンへの追加が始まっており、
2016年10月までは潜在的に中間者攻撃が行われる危険性をはらんでいると言
えます。
SSAC057に関する日本語の情報には、JPNICの"ドメイン名を中心としたポリ
シーレポート"の第10号があります(*4)。
(*1) SSAC057: SSAC Advisory on Internal Name Certificates
http://www.icann.org/en/groups/ssac/documents/sac-057-en.pdf
(*2) CA/Browser Forum
https://www.cabforum.org/
(*3) CA/Browser Forum Baseline Requirements for the Issurance and
Management of Publicly-Trusted Certificates, v.1.0
https://www.cabforum.org/wp-content/uploads/Baseline_Requirements_V1.pdf
(*4) "ドメイン名を中心としたポリシーレポート"第10号
新gTLDの導入に伴う「内部利用目的での証明書への影響」に関するSSAC
による勧告について
https://www.nic.ad.jp/ja/in-policy/policy-report-201307.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 4 】統計資料
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. JPドメイン名
o 登録ドメイン数(2013年9月~2014年2月)
-------------------------------------------------------------------------------------------
日付| AD AC CO GO OR NE GR ED LG GEO GA GJ PA PJ TOTAL
-------------------------------------------------------------------------------------------
9/1| 262 3536 360245 620 29804 15467 7145 4796 1840 2502 780714 125743 9988 3304 1345966
10/1| 261 3532 360702 625 29889 15454 7125 4807 1840 2494 782811 125821 10347 3351 1349059
11/1|261 3537 361218 622 29991 15424 7106 4814 1840 2490 785559 126188 10696 3397 1353143
12/1|261 3540 361764 622 30051 15386 7106 4810 1840 2488 787278 126241 9452 3130 1353969
1/1|261 3536 362364 621 30116 15345 7072 4832 1840 2480 789672 126182 8833 2948 1356102
2/1|261 3534 362823 622 30175 15325 7067 4837 1840 2475 793570 126196 8551 2930 1360206
-------------------------------------------------------------------------------------------
GA:汎用ドメイン名 ASCII(英数字)
GJ:汎用ドメイン名 日本語
PA:都道府県型ドメイン名 ASCII(英数字)
PJ:都道府県型ドメイン名 日本語
2. IPアドレス
o JPNICからの割り振りとJPNICへの返却ホスト数(2013年8月~2014年1月)
------------------------------------------
月 | 割振 | 返却 | 現在の総量
------------------------------------------
8 | 0 | 0 | 93028542
9 | 4096 | 2048 | 93030590
10 | 0 | 14336 | 93016254
11 | 0 | 11264 | 93004990
12 | 1024 | 1024 | 93004990
1 | 0 | 0 | 93004990
------------------------------------------
□統計情報に関する詳細は → https://www.nic.ad.jp/ja/stat/
3. 会員数 ※2014年2月14日 現在
---------------------
会員分類 | 会員数 |
---------------------
S会員 | 3 |
A会員 | 1 |
B会員 | 2 |
C会員 | 2 |
D会員 | 102 |
非営利会員| 10 |
個人推薦 | 33 |
賛助会員 | 41 |
---------------------
合計 | 194 |
---------------------
□会員についての詳細は → https://www.nic.ad.jp/ja/member/list/
4. 指定事業者数 ※2014年2月10日 現在
IPアドレス管理指定事業者数 405
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2014.2.17(火) IPv6早わかりセミナー[後援](宮城、
TKPガーデンシティ仙台)
2014.2.18(火)~28(金) APNIC 37 (Petaling Jaya, Malaysia)
APRICOT 2014 (Petaling Jaya, Malaysia)
2014.2.20(木)~21(金) APTLD Members & Annual General Meeting
(Petaling Jaya, Malaysia)
2014.2.23(日) AP* Retreat (Petaling Jaya, Malaysia)
2014.2.25(火) IPv6早わかりセミナー[後援]
(長野、JA長野県ビル)
2014.2.27(木)~28(金) 情報セキュリティシンポジウム道後2014
[後援](愛媛、松山市立子規記念博物館)
--------------------------------------------------------------------
2014.3.2(日)~7(金) 89th IETF (London, England)
2014.3.4(火) IPv6早わかりセミナー[後援]
(石川、TKP金沢ビジネスセンター)
2014.3.6(木)~7(金) Security Days 2014[後援]
(東京、JPタワー(KITTE))
2014.3.7(金) IPv6早わかりセミナー[後援](北海道、
TKPガーデンシティアパホテル札幌)
2014.3.12(水)~13(木) 51st CENTR General Assembly /
2014 Annual General Meeting
(Stockholm, Sweden)
2014.3.14(金) 第52回臨時総会(東京、アーバンネット神
田カンファレンス)
第101回臨時理事会(東京、JPNIC会議室)
IPv6早わかりセミナー[後援]
(東京、AP東京八重洲通り)
2014.3.18(火)~21(金) APCERT Annual General Meeting &
Conference 2014 (Taipei, Taiwan)
2014.3.20(木) IPv6早わかりセミナー[後援]
(東京、TKP御茶ノ水会議室)
2014.3.23(日)~27(木) ICANN 49 (Singapore, Singapore)
--------------------------------------------------------------------
2014.4.13(日)~16(水) ARIN 33 (Illinois, U.S.A.)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1169 【定期号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2014 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
-
JPNIC会員
会員向け情報/各種変更手続
入会のご案内
