===================================
__
/P▲ ◆ JPNIC News & Views vol.1380【定期号】2016.2.15 ◆
_/NIC
===================================
---------- PR --------------------------------------------------------
◆◇◆ クラウドなら【JRシステムデータセンターサービス】 ◆◇◆
◇ 「安全・安心」なデータセンターでクラウドサービスをご提供します ◇
◆短期導入、柔軟な拡張性、性能保証、初期投資や運用コストの削減を実現◆
◇ JRシステムがお客様の安定的な事業継続を一緒にサポートします! ◇
◆◇◆ http://www.jrs.co.jp/article.php/products_datacenter ◆◇◆
----------------------------------------------------------------------
---------- PR --------------------------------------------------------
┏━━━━━━━━━━━━━━━┓ ■ 今年の白書は20年記念特別版 ■
┃インターネット白書2016 発売! ┃ □ 電子書籍版もあります! □
┗┳━━━━━━━━━━━━━━┻━━━━━━━━━━━━━━━━━┓
┃ 白書の詳細はこちらのページへ ⇒ https://www.nic.ad.jp/ja/iwp/ ┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ News & Views vol.1380 です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DNSによる名前解決はインターネットに欠かせないしくみであり、さまざまな
場所で利用されています。しかし現在では、DNSに関する攻撃や悪用の手法は
多岐にわたり、また脆弱性とまでは言えなくても、運用にあたって注意した
方が良いポイントもいくつかあります。
本号では、DNSに関する攻撃や悪用の手法をいくつか取り上げた上で、それら
への対策についてご紹介したいと思います。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ 目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集 「DNSに関する攻撃や悪用の手法と対策」
【 2 】News & Views Column
「インターネット雑感」
株式会社ブロードバンドタワー 許先明氏
【 3 】インターネット用語1分解説
「ASOとは」
【 4 】統計資料
1. JPドメイン名
2. IPアドレス
3. 会員数
4. 指定事業者数
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 1 】特集 「DNSに関する攻撃や悪用の手法と対策」
JPNIC 技術部 小山祐司
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
DNS (Domain Name System)は「ドメイン名からIPアドレスを調べる」「電子
メールの送信先サーバを調べる」など、インターネットで各種アプリケーショ
ンを利用する際に広く使われているシステムです。そのため、DNSの安定性や
セキュリティの向上、パフォーマンスの維持が重要です。
今日においてはDNSを使ったさまざまな脅威が存在しており、今この瞬間にも
世界各地でDNSの仕組みに対して攻撃が行われています。本稿では、DNSに関
する攻撃にはどのようなものがあるか、またそれらに対する対処方法につい
て、ご紹介していきます。
■ キャッシュポイズニング攻撃
Webサイトを閲覧する、メールを送信するときなどには、DNSが使われます。
その際、DNSから得られたデータは、キャッシュDNSサーバやクライアントPC
などに、再利用のためのキャッシュとして一時的に保存されます。こうする
ことで、応答時間の短縮や、サーバ・ネットワーク機器の負荷低減などに役
立てることができます。しかし悪意のある攻撃者によって、一時的に蓄えた
キャッシュの内容を書き換えられる、あるいは偽のデータを蓄えさせられ、
アプリケーションに対して意図していない通信をさせる攻撃が知られており、
キャッシュポイズニング攻撃(*1)と呼ばれています。
対応策として、サーバの設定やパラメータの調整等で、キャッシュポイズニ
ング攻撃の成功確率を低くすることができますが、根本的な解決策としては
DNSSEC(*2)を導入することが推奨されています。
(*1) インターネット用語1分解説「DNSキャッシュポイズニングとは」
https://www.nic.ad.jp/ja/basics/terms/DNS-cp.html
(*2) インターネット用語1分解説「DNSSEC」
https://www.nic.ad.jp/ja/basics/terms/dnssec.html
■ DNS amplification attack (DNS増幅攻撃)
DNSでやりとりされる通信は、主にUDPパケットが用いられます。また、DNSで
の問い合わせおよび回答のパケットの大きさは、通常は問い合わせパケット
のサイズよりも、回答パケットのサイズが大きくなります。攻撃者はこれら
の特徴を利用して、送信元IPアドレスを攻撃対象となるサイトに偽装した問
い合わせを、踏み台となるDNSサーバに対して行うことで、問い合わせよりも
大きな回答を、DNSサーバから攻撃対象へ送らせることができます(*3)。この
とき攻撃者は、回答が非常に大きくなるよう問い合わせ内容を調整すること
があります。また、攻撃者は攻撃対象に直接アクセスをする必要が無く、問
い合わせを行ったDNSサーバを経由する形で、攻撃することができるといった
特徴があります。
対応策としては、攻撃対象となった場合には、ルーティング情報の制御やDDoS
緩和サービスを利用するなどの方法が挙げられます。また、攻撃の際のパケッ
ト増幅には、オープンリゾルバとなっているサーバやネットワーク機器が使
われやすいため、それらの機器を無くしていく活動(*4)が行われています。
(*3) DNS Amplification Attacks
https://www.us-cert.gov/ncas/alerts/TA13-088
(*4) オープンリゾルバ(Open Resolver)に対する注意喚起
https://www.nic.ad.jp/ja/dns/openresolver/
■ レジストラハイジャック
ドメイン名を登録する場合は、通常レジストラを利用して登録申請を行いま
す。レジストラの登録システムまたは登録申請を行う際の認証が脆弱だった
場合、攻撃者は申請者のアカウントを乗っ取ることで、ドメイン名の登録情
報を変更することが可能になります。攻撃が成功した場合、ドメイン名の権
威DNSサーバを攻撃者が用意したものに変更する、ドメイン名の登録者を攻撃
者自身にする、あるいはレジストラ移転をすることなどが可能になります。
攻撃者は、レジストラそのものを攻撃することもあれば、特定の登録者のア
カウントに対して攻撃することもあります。登録者のIDやパスワードを盗ん
だり、登録者になりすましてレジストラの問い合わせ窓口から認証情報を得
たりする方法が知られています(*5)。
対応策としては、レジストラを選択する際にセキュリティ対策を重視してい
る事業者を選択し、多要素認証などでアカウント情報を保護することが挙げ
られます。
(*5) DOMAIN NAME HIJACKING: INCIDENTS, THREATS, RISKS, AND REMEDIAL
ACTIONS
http://archive.icann.org/en/announcements/hijacking-report-12jul05.pdf
■ タイポスクワッティング(typosquatting)
ドメイン名を利用する状況としては、例えばWebブラウザ等でURLを入力する、
メーラーにメールアドレスを入力するといったことが考えられます。このと
きの入力ミスを狙って、偽サイトに誘導したり、データを窃取したりしよう
とする手法です(*6)。
例えばexample.comに対する攻撃者は、入力を間違いやすいドメイン名:
xeample.com
exampel.com
wwwexample.com
mailexample.com
...
といったドメイン名を取得し、「アドレスを間違えてuser@xeample.com宛に
送られたメールの内容を覗き見る」「www.example.comと似た偽のWebサーバ
をwwwexample.comとして立ち上げ、アクセスしてきたユーザーからさまざま
なデータを窃取する」といった攻撃方法です。
対応策としては、自社の利用するドメイン名と似たドメイン名を、あらかじ
め登録するといったことが考えられます。
(*6) Typosquatting - what happens when you mistype a website name?
https://nakedsecurity.sophos.com/typosquatting/
■ ゾーン情報の第三者による取得
DNSでは、ゾーン転送と呼ばれる方法で、権威サーバの保持するドメイン名に
関する情報(ゾーン情報)をコピーします。これによって、複数の権威サーバ
間でゾーン情報を自動的に同期させます。このとき、マスターとなるサーバ
がゾーン転送の許可・不許可を適切に設定していない場合、第三者がゾーン
転送をすることによって、ゾーン情報がコピー可能になる場合があります
(*7)。
このゾーン転送は、DNSの通常の問い合わせと回答の仕組みを利用して行われ
るため、制限されていないサーバからは容易にゾーン情報が取得可能です。
ゾーンの情報が第三者に見られてしまうこと自体は、攻撃や脅威という訳で
はありません。しかし、悪意のある攻撃者が、ゾーンに含まれるさまざまな
情報を元にして、IPアドレス、ホスト名、OS、機器ベンダー、設置場所等を
推測し、別の攻撃の足がかりとすることが可能となります。そのため、不用
意にゾーン転送可能な状態にしておくことは、避ける方が良いと考えられて
います。
対応策として、DNSサーバの設定等でゾーン転送が可能なホストを限定するこ
とが挙げられます。
このように権威DNSサーバが適切に設定されていない例は、日本国内でかなり
多いことが判明しており、2016年1月12日にはJPNICでも注意喚起(*8)を行っ
ています。
(*7) DNS Zone Transfer AXFR Requests May Leak Domain Information
https://www.us-cert.gov/ncas/alerts/TA15-103A
(*8) 権威DNSサーバにおけるゾーン転送の設定に関する注意喚起
https://www.nic.ad.jp/ja/topics/2016/20160112-01.html
■ JPNICによるDNSに関する情報提供と逆引きDNSSEC
今回はDNSに関する攻撃手法を中心に、DNSを運用するにあたって注意すべき
ポイントをご紹介しましたが、DNSに関する技術的な解説やトピックスはJPNIC
のWebサイトでも公開しています。脆弱性に関する情報なども、公開に合わせ
て速やかにお知らせしていますので、ぜひご活用ください。
DNS
https://www.nic.ad.jp/ja/dns/
また、キャッシュポイズニング攻撃への根本的な解決策として、DNSSECを挙
げましたが、JPNICでも2015年11月9日より、逆引きDNSにDNSSECを導入してい
ます(*9)。JPNICが管理する逆引きゾーンではDNSSECによる検証が可能な状態
となっていますので、こちらも対象となるユーザーの方々はご利用いただけ
ればと思います。
(*9) 逆引きDNSへのDNSSEC署名の追加と上位ゾーンへのDSレコード登録につ
いて
https://www.nic.ad.jp/ja/topics/2015/20151016-01.html
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
┃ ◆◇◆◇◆ 本特集のご感想をお聞かせください ◆◇◆◇◆ ┃
┃良かった ┃
┃→ http://feedback.nic.ad.jp/1380/266cee4dd46f3bb08a125b8ca136cca2┃
┃ ┃
┃悪かった ┃
┃→ http://feedback.nic.ad.jp/1380/d7b66ef2e14073d00425a4f436276133┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 2 】News & Views Column
「インターネット雑感」
株式会社ブロードバンドタワー 許先明
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
私がインターネット関連の仕事を始めて、いつの間にやら20年が経過した。
思い返せば、個人相手のISPのネットワーク管理者から始まり、OS関連、IPv6
関連、サーバー関連、セキュリティ関連と仕事自体は少しずつ変わってきた
ものの、インターネット技術関連の仕事を今でも続けている。長いようで短
い、短いようで長い時間を過ごしてきたような気がしている。
私はもともと、ただのパソコンオタクだった。自分が利用する玩具としての
パソコン環境を構築することが趣味で、その趣味の延長として、インターネッ
ト技術を追いかけてきた。つまり、ただの利用者として「知りたい・使いた
い」を続けてきただけだ。しかし、この「続ける」ということが、今にして
思えば、非常に重要だったように思う。
インターネットは、すでにインフラになっていると言えるだろう。まだまだ
未成熟かもしれないが、着々と重要インフラへの道を歩んでいる。このよう
なインフラは、構築した者の思惑などとは関係なく、過去のさまざまなもの
を飲み込んで肥大化していく。インフラである以上、そこには必ず利用者が
あり、利用者の要望は際限なく拡大していく。
インターネットが拡大していく中で、常識もどんどん変化してきた。
私が子供の頃は、個人で携帯電話を持ち歩くなんて、ドラえもんの世界の話
だった。しかし今では、少なくとも社会人であれば、むしろ携帯電話を持た
ない人の方がマイノリティに分類されるのではないだろうか。
私が子供の頃は、電電公社が個人の電話番号を掲載した「電話帳」を配って
いたように記憶している。しかし今では、断り無く電話帳へ掲載することは
「プライバシーが云々」ということで大問題になるだろう。
私がインターネットの仕事を始めた当時は、セキュリティなどはあまり考慮
されなかった。いや、もちろん最小限のセキュリティは考えてはいたが、今
のような体系だったものではなかった。しかし、今まさに、インターネット
を利用するシステムはしっかりとセキュリティを考慮しなければならなくなっ
た。
恐らく、これからも常識はどんどん変化していくだろう。その中で、変化の
そばに居続け、そこで何かを残していきたい、と思う。
■筆者略歴
許 先明(ほ そんみょん)
1995年に株式会社インターリンクでISPの立ち上げ、特にネットワーク管理を
行う。その後、複数の会社を移動しつつ、サーバー管理やセキュリティ、IaaS
サービスなどを薄く幅広く経験。2014年、株式会社ブロードバンドタワーに
転職し現在に至る。2013年10月からJPNIC内に設立されたIPv6教育専門家チー
ムのメンバー。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 3 】インターネット用語1分解説
「ASOとは」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「ASO (Address Supporting Organization)」とは、ICANNに設置されている
三つの支持組織(Supporting Organization, SO)のうちの一つで、IPアドレス
に関してICANN理事会に助言を行う組織です。
IPアドレス、AS番号といった番号資源は、五つの地域インターネットレジス
トリ(Regional Internet Registry, RIR)が、それぞれの地域において登録管
理を行い、管理方針(アドレスポリシー)の策定を行っています。それらRIRに
よる管理に加え、現在ICANNの一部局であるIANA (Internet Assigned
Numbers Authority)が、全体の台帳管理を行い、RIRに対して大きなブロック
(IPv4の場合/8単位、IPv6の場合/23など)の割り振りを行っています。
このIANAにおけるIPアドレス管理のポリシー(グローバルポリシー(*1)と呼ば
れます)をICANN理事会に具申するのがASOの主な役割であり、その具申はASO
に設置されたアドレス評議会(Address Council, AC)の議決により行われま
す。
しかしながら、IPアドレス管理に興味を持ち、ポリシー策定の主体となるコ
ミュニティは、ICANNではなく五つのRIRに形成されています。このため、以
下のような工夫がなされています。
まず、グローバルポリシーの検討は、RIRにおける他のアドレスポリシーと同
様に、各RIRのアドレスポリシーフォーラムで行われます。そして、すべての
RIRフォーラムでコンセンサスに至り、さらにACが確認し承認したものが、グ
ローバルポリシー提案としてICANN理事会に具申されます。
またASOは、ICANNが直接運営する形式を取らず、五つのRIRの連合組織である
Number Resource Organization (NRO)が、ASOの役割、責任、機能を遂行して
います。これは2004年にICANNとNROとの間で結ばれた、ICANN Address
Supporting Organization (ASO) MoU(*2)で定められています。このMoUにお
いてASOのACは、NROに設置されるNumber Council (NC)のメンバーによって構
成されることも定めています。
ASO AC (NRO NC)は五つのRIRから3名ずつ、計15名で構成されます。グローバ
ルポリシーの具申以外の役割には、RIR新設に関するICANN理事会への助言、
ICANN理事会に対する2名の理事の選定などがあります。
(*1) インターネット用語1分解説「グローバルポリシー(global policy)、
地域ポリシー(regional policy)とは」
https://www.nic.ad.jp/ja/basics/terms/global-policy_regional-policy.html
(*2) ICANN Address Supporting Organization (ASO) MoU
https://www.nro.net/documents/icann-address-supporting-organization-aso-mou
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 4 】統計資料
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. JPドメイン名
o 登録ドメイン数(2015年9月~2016年2月)
--------------------------------------------------------------------------------------------
日付| AD AC CO GO OR NE GR ED LG GEO GA GJ PA PJ TOTAL
--------------------------------------------------------------------------------------------
9/1|261 3549 374654 597 32167 14363 6636 5080 1841 2385 831695 114350 9045 2793 1399416
10/1|260 3553 375679 590 32246 14302 6628 5087 1841 2381 832304 113864 9107 2790 1400632
11/1|260 3556 377204 593 32361 14273 6607 4987 1842 2380 834706 113888 9129 2786 1404572
12/1|259 3557 378002 594 32443 14245 6580 4990 1842 2373 837124 113655 8707 2732 1407103
1/1|260 3561 379056 594 32541 14214 6570 4998 1843 2367 839520 113521 8590 2612 1410247
2/1|259 3564 379743 590 32607 14183 6562 5007 1852 2364 841880 113514 8611 2673 1413409
--------------------------------------------------------------------------------------------
GA:汎用ドメイン名 ASCII(英数字)
GJ:汎用ドメイン名 日本語
PA:都道府県型ドメイン名 ASCII(英数字)
PJ:都道府県型ドメイン名 日本語
2. IPアドレス
o JPNICからの割り振りとJPNICへの返却ホスト数(2015年8月~2016年1月)
------------------------------------------
月 | 割振 | 返却 | 現在の総量
------------------------------------------
8 | 2048 | 0 | 93059006
9 | 2048 | 0 | 93061054
10 | 9216 | 0 | 93070270
11 | 1024 | 0 | 93071294
12 | 3072 | 0 | 93074366
1 | 1024 | 1024 | 93074366
------------------------------------------
□統計情報に関する詳細は → https://www.nic.ad.jp/ja/stat/
3. 会員数 ※2016年2月12日 現在
---------------------
会員分類 | 会員数 |
---------------------
S会員 | 3 |
A会員 | 1 |
B会員 | 2 |
C会員 | 2 |
D会員 | 98 |
非営利会員| 10 |
個人推薦 | 33 |
賛助会員 | 37 |
---------------------
合計 | 186 |
---------------------
□会員についての詳細は → https://www.nic.ad.jp/ja/member/list/
4. 指定事業者数 ※2016年2月9日 現在
IPアドレス管理指定事業者数 417
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 5 】イベントカレンダー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2016.2.15(月)~26(金) APRICOT 2016/APNIC 41
(Auckland, New Zealand)
2016.2.16(火) サーバ管理者向け、IPv6対応セミナー in
恵比寿 (東京、株式会社 DMM.com ラボ 本
社 会議室)
2016.2.16(火)~17(水) 55th CENTR General Assembly
(Budva, Montenegro)
2016.2.18(木)~19(金) 第22回NORTHインターネット・シンポジウム
2016(札幌、国立大学法人北海道大学 学術
交流会館小講堂)
APTLD 2016 Annual General Meeting
(Auckland, New Zealand)
2016.2.21(日) AP* Retreat Auckland Meeting
(Auckland, New Zealand)
--------------------------------------------------------------------
2016.3.3(木) 2016年IoTのデファクト・スタンダードの
行方[後援]
(東京、エムワイ貸会議室 高田馬場)
2016.3.3(木)~4(金) Security Days 2016[後援]
(東京、JPタワー&ホールカンファレンス
(KITTE))
2016.3.5(土)~10(木) ICANN 55 (Marrakech, Maroc)
2016.3.11(金) IPv6対応セミナー(福岡) (福岡、九州通信
ネットワーク株式会社 本社 会議室)
Security Days 2016[後援] (大阪、ナレッ
ジキャピタル・カンファレンスルーム(グ
ランフロント大阪))
2016.3.18(金) 第58回臨時総会(東京、アーバンネット神
田カンファレンス)
第112回臨時理事会(東京、JPNIC会議室)
--------------------------------------------------------------------
2016.4.3(日)~8(金) IETF 95 (Buenos Aires, Argentina)
2016.4.17(日)~20(水) ARIN 37 (Montego Bay, Jamaica)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
わからない用語については、【JPNIC用語集】をご参照ください。
https://www.nic.ad.jp/ja/tech/glossary.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
___________________________________
■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■
::::: 会員リスト ::::: https://www.nic.ad.jp/ja/member/list/
:::: 会員専用サイト :::: https://www.nic.ad.jp/member/ (PASSWORD有)
□┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□
┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
===================================
JPNIC News & Views vol.1380 【定期号】
@ 発行 一般社団法人 日本ネットワークインフォメーションセンター
101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F
@ 問い合わせ先 jpnic-news@nic.ad.jp
===================================
___________________________________
本メールを転載・複製・再配布・引用される際には
https://www.nic.ad.jp/ja/copyright.html をご確認ください
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
登録・削除・変更 https://www.nic.ad.jp/ja/mailmagazine/
バックナンバー https://www.nic.ad.jp/ja/mailmagazine/backnumber/
___________________________________
■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■
::::: https://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■◆ @ Japan Network Information Center
■■◆ @ https://www.nic.ad.jp/
■■
Copyright(C), 2016 Japan Network Information Center
JPNICはインターネットの円滑な運営を支えるための組織です
- JPNIC
-
IPアドレス・AS番号
指定事業者向け各種申請手続/お知らせ
一般ユーザーの方
- JPNIC会員
