----------------------------------------------------------------------
■DNSの健全な運用のために ~DNSサーバの不適切な登録内容による
                                                脅威と対策(詳細編)~
                                                       2005/06/28(Tue)
----------------------------------------------------------------------

▼ドメイン名の管理に関する問題点

DNS はメールの送受信や Web の閲覧といったインターネット上のサービスを
利用するための、重要なインフラとなっています。このため、DNS サーバは複
数配置し、冗長性を高めるのが一般的です。DNS サーバを複数配置する手段と
しては、自分で DNS サーバを複数用意する方法と、ISP などに委託してセカ
ンダリ DNS サーバを用意する方法があります。

しかしながら、委託したセカンダリ DNS サーバが、その委託契約期限が切れ
たり、サーバそのものが廃止されるなどの理由で、管理されなくなった DNS 
サーバが、レジストリに登録されたまま残ってしまうケースがあります。この
間違った DNS サーバが原因で、Lame Delegation となったり、ドメイン名の
乗っ取りの原因となる可能性があります。

また自分で用意した DNS サーバにおいても、ホスト情報の更新忘れなどによ
り、間違った DNS サーバが登録されたままになることもあります。この間違っ
たホスト情報も、Lame Delegation の原因となる可能性があり、これらを正し
く維持・管理する必要があります。

よくある具体例としては以下のケースがあります。ここでは example.co.jp 
を例に説明します。

(ケース1) DNS サーバのドメイン名や IP アドレスに間違った情報を登録した
          場合

 1. レジストリに example.co.jp の DNS サーバとして ns1.example.co.jp 
    とするところを、ms1.example.co.jp と登録していた。

 このケースでは、複数の DNS サーバを登録してある場合は、正しく登録した
 サーバに問合せが行き、問題が発見されにくい場合があります。

(ケース2) 委託していたセカンダリ DNS サーバのドメイン名の更新期限が切
          れて、第三者に登録可能な状態となる場合

 1. レジストリに example.co.jp の DNS サーバとして ns1.example.co.jp と
    ns1.example.ne.jp を登録していた。

 2. exmaple.ne.jp の更新期限が切れて、example.ne.jp というドメイン名
    が第三者に登録可能な状態となった。

 このケースでは、レジストリに登録してある、ns1.example.ne.jp という 
 DNS サーバの情報は不適切な状態になります。

(ケース3) 委託していたセカンダリ DNS サーバが存在しなくなる場合

 1. レジストリに example.co.jp の DNS サーバとして ns1.example.co.jp と
    ns1.example.ne.jp を登録していた。

 2. ns1.example.ne.jp という DNS サーバが、委託先の都合で廃止される
    などで存在しなくなった。

 このケースでは、レジストリに登録してある、ns1.example.ne.jp という 
 DNS サーバの情報は不適切な状態になります。

(ケース4) ホスト情報の更新忘れにより不要な DNS サーバが残る場合

 1. レジストリに example.co.jp の DNS サーバとして ns1.example.co.jp 
    と ns2.example.co.jp を登録していた。
    また、ホスト情報として ns1.example.co.jp の IP アドレスを 
    192.168.0.1、ns2.example.co.jp の IP アドレスを 172.16.0.1 として
    レジストリに登録していた。

 2. DNS サーバを変更することになり、example.co.jp ゾーンで 
    ns1.exmaple.co.jp を 10.0.0.1 にリナンバしたが、レジストリのホスト
    情報の更新を忘れた。

 このケースでは、レジストリに登録した ns1.example.co.jp のホスト情報
 192.168.0.1 の設定が、下位のゾーンと一致しないため、誤った設定となり
 ます。


▼影響

ケース1においては、冗長性を高める登録をしたつもりが、機能していないと
いう状態が起こりえます。また、ドメイン名を間違えると、自分で管理してい
ない DNS サーバをさす可能性があります。この場合、その DNS サーバにより
ドメイン名を乗っ取ることが可能になります。

ケース2においては、第三者が、期限が切れた不要な DNS サーバが属するドメ
イン名を登録することにより、そのドメイン名を管理する DNS サーバの一つ
として振舞い、乗っ取ることが可能になります。

これは、本物そっくりの Web サイトを立ててフィッシング詐欺に利用したり、
第三者が用意したメールサーバに、そのドメイン宛てのメールを送信させて
閲覧するといった行為が可能となります。

ケース3においては、すぐに第三者にドメイン名を乗っ取られる可能性は、ケー
ス2と比べて低いですが、Lame Delegation の状態になります。Lame
Delegation の状態になっているドメイン名においては以下のような問題を起
こす可能性があります。

 1. 無駄なトラフィックの発生
 2. パケットストーム

Lame Delegation による影響については、「DNSの健全な運用のために ~Lame
Delegation編~」(*1) も合わせてご参照下さい。

ケース4では、上位のゾーンと下位のゾーンで、Delegation の設定が一致して
いないため、Lame Delegation となります。ただしケース4においても、
192.168.0.1 という IP アドレスが第三者に割り当てられた場合、ケース2と
同様に乗っ取られる危険性があるため注意が必要です。


▼対策

レジストリに登録したドメイン名の DNS サーバを正しく管理・設定するため
には、各ドメイン名の登録者が以下の対策を行うことが必要です。

 1. レジストリに登録した DNS サーバと、そのドメインを管理する DNS サー
    バの設定を一致させる。

    一致していることを確認するための方法としては、レジストリが提供する 
    Whois サービスを利用したり、ドメイン名を管理する DNS サーバに、実
    際に DNS クエリを送信することで、設定を確認する方法が挙げられます。

    JP ドメイン名を利用しているユーザは JPRS が提供する Whois サービス
    (http://whois.jprs.jp) を使って確認することができます。具体的な確
    認方法については「DNSサーバの登録と設定の確認」をご参照ください
    (*2)。

    なお、DNS の設定の適切さをチェックしてくれるサイト(*3)がいくつかあ
    るのでこちらを利用してチェックする方法もあります。

 2. レジストリに登録したホスト情報と、ドメイン名を管理する DNS サーバ
    の設定を一致させる。

    example.jp ドメイン名の DNS サーバに、ns1.example.jp,
    ns2.example.jp を登録する場合は、レジストリに登録するホスト情報に
    ついても、正しく登録・管理する必要があります。

      レジストリへの登録(JPの場合)
      example.jp.   IN   NS   ns1.example.jp.
                    IN   A    192.168.0.1
      example.jp.   IN   NS   ns2.example.jp.
                    IN   A    192.168.0.2

    DNS サーバのリナンバなどの変更を行う際は、このホスト情報との整合性
    を確認する必要があります。


▼参考資料

(*1) DNSの健全な運用のために ~Lame Delegation編~
     http://jprs.jp/tech/notice/2003-05-20-dnsqc-lame-delegation.html

(*2) DNS サーバの登録と設定の確認
     http://jprs.jp/tech/material/tip0001.html

(*3) DNS チェックサイト
     http://www.dnsreport.com/
     http://www.squish.net/dnscheck/
     http://www.zonecheck.fr/
----------------------------------------------------------------------
    


株式会社日本レジストリサービス Copyright©2001-2016 Japan Registry Services Co., Ltd.