概要

2019年4月23日（火）＠IIJ飯田橋で開催された #ssmjp のDNSの話を聞く会の感想です。

会のスケジュール

「BINDのメモリリークとRoot KSK Rollover」

資料：

• https://speakerdeck.com/sischkg/bind-memory-leak-vulnerability-and-root-ksk-rollover

概要：

• BINDのメモリリーク
• BINDのメモリリークの脆弱性（CVE-2018-5744）は、複数のKey Tag Option を持つDNSクエリを受信するとメモリリークするというもの
• 対象は、権威サーバ、フルリゾルバの両方(詳しくは、上記のCVE参照）
• 検証コードの作成は容易、回避策はないが、悪用するためには多数のDNSクエリ（１GBのメモリをリークさせるためには合計１GB以上のクエリ）が必要
• バージョンアップをしましょう

• Root KSK Rollover
•  Root Zone のKSK（＝Trust Anchor）を新しいものに変更する作業
• Validator（フルリゾルバ）に、対応する新しいTrust Anchor（＝KSK）を設定する必要がある

• Signaling Trust Anchor Knowledge
• RFC8145 Signaling Trust Anchor Knowledge in DNS Security Extensions (DNSSEC)
• 新しいTrust AnchorをValidatorへ設定したか調査するために導入
• Validatorが使用しているTrust AnchorのKey Tagを送信
• その際、複数のKey Tagを含むクエリを送信する（→ 前述の脆弱性）
• 新しいValidatorのみ実装のため、全てを観測できない（参考にならなかった）
• 次回のRoot KSK Rollover時には役立つかも（個人の感想）

 感想：

• 次回は「RFC5011: Automated Updates of DNS Security (DNSSEC) Trust
  Anchors “DNSSEC トラストアンカーの自動更新”」が全て実装されてて欲しいと思った。

「DNS BOM-BA-YE!! 〜DNS[をで]止め(ろ|るな)!〜」

資料：

• https://speakerdeck.com/fj/dns-bom-ba-ye-dns-wode-zhi-me-ro-runa

概要：

• DNSを止めるな！
• DNSの停止＝＝電気通信事故（電気通信事業法）
• 2時間以上かつ3万人以上の被害が、重大事故
• BINDの脆弱性が出るタイミング予測する試み
• 「特定ディレクトリ」(private)のタイムスタンプ更新 -> 5日後にリリース
• ん！？ private/ が 2019-04-17 20:27 に更新
• ShodanでBINDのバージョンを調査 9.11.6-P1 を発見
• 今週中に新しいバージョンが出そう
• DNSで止めるな！
• 海賊版サイトブロッキング -> 緊急避難に当たらない（2018/3/29 法務省刑事局）
• つまり海賊版サイトをDNSで止めることは違法
• DNSで止める！
• 児童ポルノブロッキング -> 緊急避難に当たる
• 「民間の自主的な取り組み」として実施
• 通信事業者は「法的リスク」と「コスト」を背負い、覚悟の上で実施
• マルウェアフィルタリング -> 利用者の同意を得て実施
• DNSを止めろ！
• OP58B（Outbound Port 53 Blocking)
• NIST SP800-81-2 では、企業のファイアウォールで制限することを考慮すべきとある

補足：

• 予言通り新しいBINDがリリースされました
• https://ftp.isc.org/isc/bind9/9.14.1/RELEASE-NOTES-bind-9.14.1.html
• https://nvd.nist.gov/vuln/detail/CVE-2016-9778

感想：

• BINDのリリースを予測するやり方は面白い。ただ、これが広まると cron.dailyで、privateの更新日を毎日変えられそう。

「DNS Summer Dayのおしらせ」

https://dnsops.jp/event20190628.html

「黒塗りのDNS（萎縮編）」

資料：

• http://www.e-ontap.com/dns/ssmjp/#(1)

概要：

•  m.chukyo-u.ac.jp が、中華料理屋のサイトに変わっている！
• 原因：m.chukyo-u.ac.jpとして利用していたレンタルサーバの契約を終了したが、Aレコードの設定を削除し忘れていた。レンタルサーバの運営者が別契約者にm.chukyo-u.ac.jpで使用していたIPアドレスを再度割り振ったため（乗っ取りではない）
• 契約を解除した後もリソースレコードを設定したままにしてはならない
• 放置されたCNAMEの先も狙われている！
• ■■■■.CO.JP 事件
• NSに廃止済みの e-ontap.com のホストが指定されている
• 3990円で登録
• e-ontap.com の昔のWebページには、「Reduce the IT operation risk to your Internet business.」と書いてあった！
• 詳しい経緯は e-ontap.com へどうぞ
• レジストリ側だけ修正していた（これだけでは不十分）、権威DNSサーバ側の修正が必要
• 共用サーバでの lame delegation 乗っ取り（まとめ）
• 誰でもゾーンが作成できる共用権威サーバが危ない
• ドメイン名の権利確認がないと危ない（初期運用のドメイン名はどうするのか？）
• ゾーン作成前に委任すると危ない
• 委任のキャッシュがどこかに残っているうちにゾーンを削除すると危ない
• 移管したとたんゾーンが消えるサービスは危ない
• ずっと消さないのもトラブルの元
• 親子同居は委任がなくても危ない
• example.jpのゾーンがなく www.example.jp だけあって偽親が作られる可能性もある（サービスのUIと説明に問題があるのでは？）
• 借りた任意のサブドメイン名を返すのも危ない
• CNAMEを向けられていることはサービス運営者にはなかなかわからない
• そもそもの話、他人のドメイン名を借りること自体が色々危ない
• さらにいうと中古ドメイン名は危ない（中古を使うのの中古にするのも）
• 共用レンタルサーバでのメールの窃盗／盗聴の要点
• ドメイン名の権利確認しないサービスはたくさん存在する
• （共用レンタルサーバに）ターゲットのメールアドレスのドメイン名を設定される
• 上位ゾーン（JPなど）からのDNS委任はいらない
• 同じサーバから送信されたメールが内部（Virtual）配送される
• 中継されたらまずわからない（盗聴）
• 一般的なメールサーバの仕組みとしてあたりまえ
• 問題は権利確認していないこと／対策は権利確認してもらうこと（権利は移動するので常に確認が必要）
• 対策されていないサービスからは逃げるしかない（どこへ？）

感想：

• 共用サーバでの lame delegation 乗っ取り
• 私が利用していたDOZENSやGoogle Cloud DNSではドメイン名の権利確認をしているので、権利確認しないサービスがたくさん存在することに驚いた！
• ただ、上記のDOZENSやGoogle Cloud DNSの権利確認は、「現在の権威DNSサーバに指定のDNAMEにTXTレコードに指定のランダム文字列を記載させる」方法だった。（他の方法もあったけど使っていない）
• ドメイン名登録直後でも簡単にドメイン名（DNSサーバ）を利用するためにも、ドメイン名の登録は登録者だけが利用できるDNSホスティングサービスがあるところがいいだろう
• ただし、NSレコードを任意の値に設定できないサービスやレジストラを移転すると利用できなくなる場合は、レジストラ以外のDNSホスティングサービスを利用するべきでしょう
• 共用レンタルサーバでのメール窃盗について
• 前職で20年前（Postfixのない時代）に、qmailを使って共用レンタルサーバを作ったときに問題点として認識していたので、権利確認をしないサービスがたくさん存在することに驚いた！
• 前職の時は、人手で権利確認（認証）していたが、今ならサーバ証明書の発行で使用している認証方法を利用するのが良いだろうと思った。