JPRS用語辞典｜tsuNAME（ツネーム）

JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

HOME
用語辞典

JPRSの用語辞典では、ドメイン名やDNS、サーバー証明書に関する用語を紹介、解説しています。

解説

tsuNAME（ツネーム）

2021年5月にSIDN Labs、InternetNZ、南カリフォルニア大学情報科学研究所（USC/ISI）が連名で発表した、権威サーバーをDDoS攻撃可能な脆弱性です。

攻撃者は、自身が管理権限を持つ複数のドメイン名（以下の例ではexample.jpとexample.com）を準備し、それぞれの親ゾーン（以下の例ではjpとcom）に外部名の循環参照が発生する形で委任情報を登録しておきます。

（jpゾーンに登録）
example.jp. IN NS ns1.example.com.
（comゾーンに登録）
example.com. IN NS ns1.example.jp.

この状態で、攻撃者が準備したドメイン名（example.jpまたはexample.com）に対する名前解決を実行した場合、フルサービスリゾルバー（キャッシュDNSサーバー）において循環参照が発生することになります。もし、当該フルサービスリゾルバーにおいて循環参照の検知や外部名の参照回数の制限が設けられていない場合、権威サーバーへの問い合わせが無限に実行されることになります。

発表者からは、Google Public DNSとCisco OpenDNSがtsuNAMEに対し脆弱であった旨が報告されています（いずれも修正済み）。また、BIND 9、Unbound、PowerDNS Recursor 4.0以降では名前解決の動作に制限が設けられており、tsuNAMEの対象外である旨がそれぞれの開発元から発表されています。

本攻撃の対策として、委任情報の循環参照を検知するツールCycleHunterが公開されています。

* https://tsuname.io/（tsuNAME公式サイト）
* OARC 35 (Online) (6-7 May 2021): Public Disclosure DNS vulnerability · DNS-OARC (Indico)（OARC 35ワークショップの発表資料）
* GitHub - SIDN/CycleHunter: Python software that reads zone files, extract NS records, and detect cyclic dependencies（CycleHunter）
* TsuNAME DNS Vulnerability and BIND 9 - ISC（ISCによる解説）
* NLnet Labs - News - tsuNAME vulnerability and Unbound（NLnet Labsによる解説）
* TsuNAME vulnerability and PowerDNS Recursor | PowerDNS Blog（PowerDNSによる解説）

	1組織1ドメイン名		AAAAリソースレコード（AAAAレコード）		AAビット		ACE（エース）		ADR（エーディーアール）
	AIT（エーアイティー）		ALAC		AP*、APstar（エーピースター）		APAN（エーパン）		APCAUCE（エーピーコース）
	APCERT（エーピーサート）		APIA（エーピーアイエー）		APNG Camp（エーピーエヌジーキャンプ）		APNG（エーピーエヌジー）		APNIC（エーピーニック）
	APOPS（エーピーオプス）		APRICOT（アプリコット）		APTLD（エーピーティーエルディー）		ARPANET（アーパネット）		ASCII（アスキー）
	ASO（エーエスオー）		At-Large（アットラージ）		Aリソースレコード（Aレコード）		BIND（バインド）		CA/Browser Forum
	CAAリソースレコード（シーエーエーリソースレコード）		CA（Certification Authority：認証局）		ccNSO（シーシーエヌエスオー）		ccTLD（国別トップレベルドメイン）		ccTLDスポンサ契約
	CENTR（センター）		Certificate logs		CERT（サート）		CNAMEリソースレコード（シーネームリソースレコード）		Common Name（コモンネーム）
	CPS（Certification Practices Statement：認証運用規定）		CP（Certificate Policy）		CRL（Certificate Revocation List：証明書失効リスト）		CT（Certificate Transparency）		dangling records（ダングリングレコード）
	DNS-Based List（DNSBL）		DNS-OARC（ディーエヌエスオーアーク）		DNSKEYリソースレコード（ディーエヌエスキーリソースレコード）		DNSO（ディーエヌエスオー）		DNSpooq（ディーエヌエススプーク）
	DNSSEC（ディーエヌエスセック）		DNS（ディーエヌエス）		DNSキャッシュポイズニング		DNSフォワーダー（DNSプロキシー）		DNSブロッキング
	DNSプリフェッチ（DNS prefetching、DNS prefetch）		DNSリフレクター攻撃（DNSアンプ攻撃）		DoS攻撃（DDoS攻撃）		DRP（ドメイン名紛争処理方針）		DSリソースレコード（ディーエスリソースレコード）
	EDNS0（イーディエヌエスゼロ）		ENUM（イーナム）		EPP（イーピーピー）		FQDN（エフキューディーエヌ）		GAC（ギャック）
	GNSO（ジーエヌエスオー）		gTLD（分野別トップレベルドメイン）		hostsファイル（HOSTS.TXT）		HSTS（エイチエスティーエス、Hypertext Strict Transport Security）		IAB（アイエービー）
	IAHC（アイエーエイチシー）		IANA（アイアナ）		IA（Issuing Authority：発行局）		ICANN（アイキャン）		IDNA（アイディーエヌエー）
	IETF（アイイーティーエフ）		InterNIC（インターニック）		IP Anycast（アイピーエニーキャスト）		IP53B（Inbound Port 53 Blocking）		IPv4
	IPv6		IP（アイピー）		IPアドレス		IPフラグメンテーション（IP fragmentation）		ISO 3166
	ISOC（アイソック）		ISP（アイエスピー）		ITU（アイティーユー）		J-LIS（ジェイリス）		JDNA（ジェーディーエヌエー）
	JP DNS（ジェーピーディーエヌエス）		JP-DRP（JPドメイン名紛争処理方針）		JPCERT/CC（ジェーピーサート/シーシー）		JPDirect（ジェーピーダイレクト）		JPNIC（ジェーピーニック）
	JPRS（ジェーピーアールエス）		JPドメイン名		JPドメイン名諮問委員会		JUNET（ジェーユーネット）		KeyTrap（キートラップ）
	KSK（Key Signing Key、鍵署名鍵）		LACTLD（ラックティーエルディー）		lame delegation（レイムデレゲーション）		mixed content		MXリソースレコード（MXレコード）
	NAMEPREP（ネームプレップ）		NomCom（ノムコム）		NS Takeover（エヌエステイクオーバー）		NSD（エヌエスディー）		NSリソースレコード
	NXNSAttack（エヌエックスエヌエスアタック）		OCSP（Online Certificate Status Protocol）		OP53B（Outbound Port 53 Blocking）		OPT疑似リソースレコード（オプトギジリソースレコード）		PKI（Public Key Infrastructure：公開鍵基盤）
	PTRリソースレコード（ポインターリソースレコード）		Punycode（ピュニコード）		RA（Registration Authority：登録局）		RFC（アールエフシー）		RIPE NCC（ライプエヌシーシー）
	RIPE（ライプ）		RIR（アールアイアール）		RRset（リソースレコードセット）		RRSIGリソースレコード（アールアールシグリソースレコード）		RSSAC（アールエスエスエーシーまたはアールエスサック）
	RTT （Round Trip Time）		SAD DNS（サドディーエヌエス）		SANOG（サノグ）		SANs（サンズ、Subject Alternative Names）		SAN（サン、Subject Alternative Name）
	SCT（Signed Certificate Timestamp）		SHA-256（Secure Hash Algorithm 256）		SLD（セカンドレベルドメイン）		SNI（エスエヌアイ、Server Name Indication）		SOAリソースレコード
	SPF（エスピーエフ）		SRS（エスアールエス）		SSAC（エスエスエーシーまたはエスサック）		STRINGPREP（ストリングプレップ）		Subdomain Takeover（サブドメインテイクオーバー）
	TCP/IP（ティーシーピーアイピー）		TCP（ティーシーピー）		TCビット		Thickレジストリモデル		Thinレジストリモデル
	TLD（トップレベルドメイン）		tsuNAME（ツネーム）		TTL（ティーティーエル）		TXTリソースレコード（テキストリソースレコード）		UDP（ユーディーピー）
	UDRP（ユーディーアールピー）		Unbound（アンバウンド）		Unicode（ユニコード）		URL（ユーアールエル）		Whois（フーイズ）
	WIDE Project（ワイドプロジェクト）		WIPO（世界知的所有権機関）		WWW（ダブリューダブリューダブリュー）		ZSK（Zone Signing Key、ゾーン署名鍵）		インシデント
	インターネットガバナンス		インフラストラクチャドメイン（Infrastructure TLD）		エスクロー		オープンリゾルバー		オクテット
	オルタネート・ルート（Alternate Roots）		カミンスキー型攻撃手法（The Dan Kaminsky attack）		キーセレモニー		キーロールオーバー		キャッシュ（cache）
	グリーンペーパー（Green　Paper）		グルーレコード（glue records）		コネクションレス型		コネクション型		サイトシール
	サイバースクワッティング（Cybersquatting）		サブドメイン		サンライズ期間（sunrise period）		スタブリゾルバー（DNSクライアント）		セカンダリサーバー（スレーブサーバー）
	ソースポートランダマイゼーション		ゾーン		ゾーンファイル		ゾーン転送（zone transfer）		トラストアンカー
	ドメイン		ドメイン認証型（DV）		ドメイン名（Domain Name）		ドメイン名テイスティング		ドメイン名ハイジャック
	ネームサーバー（DNSサーバー）		ネガティブキャッシュ（negative cache）		ハッシュ値（ダイジェスト値）		バーチャルドメイン		バーチャルホスト
	ファーミング（pharming）		ファイル認証		フィッシング（phishing）		フルサービスリゾルバー（キャッシュDNSサーバー）		プライマリサーバー（マスターサーバー）
	プライミング（priming）		プロトコル		ホスティング		ホスト		ホワイトペーパー
	ポート番号（port number）		メールアドレス		メール認証		ユニバーサルアクセプタンス（Universal Acceptance: UA）		ラベル
	ランダムサブドメイン攻撃（DNS水責め攻撃）		リカーシブモード		リソースレコード（RR）		リポジトリ		ルート
	ルートCA証明書ストア		ルートサーバー（root servers）		ルートゾーン		レジストラ		レジストリ
	レジストリロックサービス		ローカルプレゼンス（国内住所要件）		ワイルドカード証明書		委任		委任情報
	応答		外部名		逆引き		共通鍵暗号		権威（オーソリティ）
	権威サーバー（権威DNSサーバー）		公開鍵暗号		公開連絡窓口情報		国際化ドメイン名（Internationalized Domain Name: IDN）		再帰的問い合わせ（recursive query）
	子ゾーン		指定事業者		常時SSL化（常時HTTPS化）		親ゾーン		正引き
	正規化		組織認証型（OV：Organization Validation）		属性型JPドメイン名		多言語ドメイン名（MDN：Multilingual Domain Name）		地域型JPドメイン名
	中間CA証明書		中間者攻撃（man-in-the-middle attack）		通常応答		電子署名（Digital Signature）		都道府県型JPドメイン名
	内部名		日本語JPドメイン名（日本語ドメイン名）		日本知的財産仲裁センター		汎用JPドメイン名		非再帰的問い合わせ（non-recursive query）
	不在応答（Negative Answers）		名前解決（Name Resolution）		問い合わせ		優先登録申請期間		予約ドメイン名