ISATAPルーター自動発見方式の実装における脆弱性の注意喚起と予約ドメイン名の追加指定について

2011/03/17 公開

マイクロソフト社が、ISATAPルーター自動発見方式の実装における脆弱性について、2007年12月にJPRSが公開した「Microsoft WindowsにおけるWebプロキシ自動発見（WPAD）の脆弱性に関する注意喚起」と同様の問題として、同社の技術文書「TechNetオンライン」の「グローバルクエリ禁止リストを管理する」（*1）において公開しています。

JPRSではこれを受け、一般ユーザーおよびサービスプロバイダなどを対象とする注意喚起文書（*2）を公開いたしました。

ホスティングサービスなどにおいてサブドメイン名に利用者が任意の文字列を設定可能なサービスを提供されている場合、この脆弱性の影響を受ける可能性があります。このようなサービスを提供または利用している各位におきましては、下記の文書をご一読の上、適切な対策をとられることを推奨いたします。

なお、JPRSでは、この脆弱性への対策の一環として、下記の対象文字列を予約ドメイン名として指定し、この文字列を属性型・地域型ドメイン名の組織ラベル（第3レベルドメイン名または第4レベルドメイン名）に使用したドメイン名の登録ができないようにしました。この予約ドメイン名の指定に関する「属性型（組織種別型）・地域型JPドメイン名登録などに関する技術細則」の改訂につきましては、今後の混乱防止の対策状況などを考慮の上、必要に応じてお知らせいたします。

記

■ISATAPルーター自動発見方式の脆弱性に関する注意喚起

マイクロソフト社 TechNetオンライン
グローバルクエリ禁止リストを管理する
http://technet.microsoft.com/ja-jp/library/cc794902(WS.10).aspx

■Windows Vista/7におけるISATAPルーター自動発見方式の脆弱性について
http://jprs.jp/tech/notice/2011-03-17-isatap-router-auto-discovery.html

■予約ドメイン名の追加指定

○対象文字列

属性型・地域型JPドメイン名

<組織ラベル>に"ISATAP"を使用したドメイン名
例：ISATAP.CO.JP、ISATAP.CHIYODA.TOKYO.JP など

汎用JPドメイン名

予約文字列の追加はありません。

○指定日

2011年2月21日（月）

以上