Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

Verisign問題、どこがどう問題なのか?

「.com、.netドメインが“Site Finder”に転送される」問題を解決するには

タイプミスで、知らない英語サイトが表示される?

 現在、インターネット上で、以下のような問題が起きている。

・ブラウザでタイプミスなどにより、存在しない.comおよび.netドメインのURLを指定した場合、英語の「Site Finder」というサイトが表示されてしまう
・存在しないドメインからのメールをはじくことによりSPAM対策をしていた場合、この対策が無効になってしまう

 今までのWebブラウザの「サーバーが見つかりません」という日本語のメッセージではなく、突然英語のメッセージが表示されて混乱した人もいるかもしれない。

 この問題に関しては、以下のような可能性も指摘されている。

・検索エンジンなどWebボットを利用したサイトが混乱する
・メールアドレスをタイプミスした場合、サーバの実装によっては、リターンメールが非常に遅く到着したり、最悪、メールが行方不明になる

 先日のニュース「ドメイン名の誤入力に対応する米VeriSignのサービスが問題に」にもあるように、これは米VeriSignが提供を開始したサービス「Site Finder」に関連したトラブルだ。この現象は9月16日から現在まで続いている。

 「Site Finder」サービスは、米Verisignと取引のあるサイトのディレクトリ集で、ジャンル一覧やキーワードからサイトを見つけることができるというもの。Verisign社はWebブラウザで入力された.comや.netアドレスが存在しないドメインを指定するものだった場合、このサイトに誘導している。

 ここで問題とされるのが、そのためにVerisign社が取った手段だ。Verisign社は、.comドメインと.netドメインを管理していることを利用して、gTLDサーバーの設定を変更。「現在存在していないサイトが検索された場合には、全てVerisignのSite Finderサイトへ誘導する」という方法を取ったのだ。


トラブルの原因と対策

 ここでDNSとは、何かを考えてみよう。インターネット上のマシンには、xxx.xxx.xxx.xxxというような4バイトのIPアドレスが振られているが、人間が利用するにはこのIPアドレスそのままでは使いづらい。そこでネットを構成している各ドメイン、マシンに名前を割り当てている。このドメイン名、マシン名からアドレスを見つけたり、逆にIPアドレスからドメインを見つけるためにDNS(ドメインネームシステム)という仕組みがあるわけだ。

 通常ネットワーク上のクライアントは、IPアドレスを知るために、DNSサーバにドメイン名を渡し、DNSサーバはそのドメイン名を知らなければさらに他のDNSサーバに渡す。こうして最終的にわからないようであれば「ドメインが存在しない」という意味のコード(NXDOMAIN)を返すようになっており、これはRFC 1034、1035で規定されている。

 しかし今回Verisign社は、まだ登録されていない.comおよび.netドメイン全てを表わすワイルドカード、つまり「どのドメインにも適用できる」としてVerisign社の運用するSite FinderサイトのIPアドレス(64.94.110.11)を割り当てた。これにより、タイプミスなどで登録されていないドメイン名を探そうとすると、VeriSign社サーバのIPアドレスを設定してしまい、ドメインがないことを示すコードが返ってこない。つまり当該ドメインがないことが事実上わからない、という状況になってしまったのだ。

 例えば、SPAM対策として「架空のドメインから送られるメールはSPAMとして受け取らない」という設定をしているメールサーバーがあるとしよう。このようなサーバーでは、登録されていない.comおよび.netドメインの場合、「ドメインが存在しない(NXDOMAIN)」ことを示すコードが返ってくることを利用していた。しかし今回、VeriSign社の行なった設定変更により、Site FinderサイトのIPアドレス「64.94.110.11」が返ってきてしまうため、SPAMメールをはじく従来の仕組みが利用できなくなり、SPAMメールを受け取るようになってしまう、というようなことが起きているわけだ。

 また、このIPアドレス「64.94.110.11」には擬似的なメールサーバーが設定されている。「擬似」というのは本当のメールサーバーではなく、特定の回数だけコマンドを(実際には動作せずに)受け付け、ある回数でコマンドがキャンセルされた、と異常終了コードを返して接続を切るようになっている。

 実際には、このメールサーバの切断は、メールの本体を送っている最中に起こり、送信側のサーバーでエラーと検出されるので、メールが行方不明になることは通常はない。しかし、メールサーバーの実装によっては、メールを送ったことにしてしまう、あるいは延々と再送信の手順を踏んでしまい、エラーメールの発送が非常に遅くなる、という可能性も指摘されている。


DNSサーバ、メールサーバにパッチを

 コンピュータ系の掲示板サイトSlashdotや同じく日本版のスラッシュドットジャパンによれば、これらのトラブルを防ぐ方法はすでにいくつか、各メーカやコミュニティから出されているようだ。

 ただし、対策はDNSやメールサーバーなどのサーバーソフトの設定が必要になるため、一般ユーザーは残念ながら手を打つことができない。もし、あなたがサーバ管理者で、UNIX系のネームサーバーかメールサーバーを使っているならば、利用可能な対策がすでに用意されている場合もあるので確認してみるといいかもしれない。

 以下のサイトには、bind9/bind8用のパッチやsendmail用の対策ルールセットなどが用意されている。bindに関してはソースを自前でコンパイルしている場合に利用可能だ。一方、現在筆者の知る限りでは、バイナリに関してはまだ各OSともこのパッチが当てられたパッケージはりリースされていないようだ。

・Verisign Countermeasures
http://www.imperialviolet.org/dnsfix.html

 また、上記サイトにはないが、Postfixなどもそれぞれのプログラムをサポートしているサイト(たとえばPostfixの場合は、Postfix のページ http://www.kobitosan.net/postfix/ など)に対策が掲載されているものがあるので確認してみると良さそうだ。

 これらの対策パッチの原理は簡単で、筆者の見た限りでは、(bind9のものを除いて)いずれのパッチもサイトの検索を行なった際に、結果としてVeriSignの運営するSite FinderサイトのIPアドレス「64.94.110.11」が返ってきてしまった場合は「サイトが無効」と見なすようになっていた。

 もし、インターネット上でDNS周りを利用して動いている自作プログラムがあっておかしな動きをするとき、同様に「64.94.110.11」が返ってきたならば、そのサイトは存在しないというルーチンを追加したほうがいいかもしれない。

 この方法には弱点もあり、VeriSignがSite Finderのサーバーを何か他のサービスに使った場合、たとえば、このサーバーからお知らせのメールを送ってくるようにした場合、このパッチを当てたサーバーを使っているとVeriSignからのメールを受け取ることができなくなる。

 また、VeriSignがこれらのパッチへの対抗策としてSite FinderのIPアドレスを64.94.110.11から変更した場合なども、パッチに書かれたSite FinderのIPアドレスを、それに合わせて書き直さなくてはならない。


「インターネットは誰のもの?」

 実際VeriSignがそのような対抗手段を取ってくるかはわからない、としか言いようがない。しかし、少なくともVeriSignにはそれが可能だ、ということだ。

 セキュリティ、暗号技術、そして電子認証サービス大手として知られるVeriSign社だが、最近では、それ以外でもネットワークの基盤のことごとくを押さえているといってもいい企業だ。

 VeriSign社は2000年3月、かつては.com、.netドメインの登録を独占して業務を行ない、当時も最大手のグローバルトップレベルドメイン登録業者であった旧Network Solutionsを買収しており、現在もドメイン登録の最大手として、そしてルートサーバーの運営者の1つとして活動している。世界に13台あるDNSのルートサーバー(DNSの一番大元となるサーバー)のうち2台を管理している企業でもある。

 今回.comドメインおよび.netドメインの打ち間違いなどを全て自社のサイトに引き込むというような芸当は、ここまで根幹を押さえているVerisignだからこそできた、と言ってもいいかもしれない。

 ちなみに、インターネット上で利用されるIPアドレス、ドメイン名、ポート番号といった資源の割り当て自体は、ICANNという民間の非営利法人が行なっており、Verisign社(が買収した旧Network Solutions)は、ICANNから契約したトップレベルドメインの管理業者ということになっている。この契約は「.com」の管理業務が2007年まで、「.net」の管理業務が2006年まで有効となっており、一定の条件下でこの期限以降も両者の登録業務が継続可能とされている(「.org」の管理業務については2002年12月までで契約が打ち切られている)。

 VeriSign社が民間企業である以上、でき得る手段を利用して、利益を追求したいというのは理解できない話ではない。そして、VeriSign社は.com、.netの管理を任されていて、今回のようなことを行なうことも実際に可能だ。

 しかし、できるからといって、道義的にやっていいものかどうかは別問題だろう。そもそも、インターネットは誰のものなのだろうか。インターネットは現在、これだけ便利で有用なシステムになっているが、かなり、それぞれの協調で成り立っている部分も多い。今回のVeriSignのような行為に及ぶ会社や組織がインターネット創生期、普及期にあったらこれだけインターネットが成長することができただろうかと思ってしまうのも事実だ。

 なお今回、.comおよびnetドメインという、世界中で一番使われるドメインにおいて、このような“サイト乗っ取り”が起きたため大きな問題になったが、実際にはすでに世界中のいくつかのドメインでも同様の設定がなされている。つまり、登録されていないドメインが検索されたとき、特定のサイトのIPアドレスが返されてしまい、ドメインが存在しないかどうかわからないわけだ。例としては、日本でも馴染みのある「.nu」ドメインが挙げられる。そのほか、「.ac」、「.cc」、「.cx」、「.museum」、「.sh」、「.ws」などが既にそうなっているようだ。


関連情報

ドメイン名の誤入力に対応する米VeriSignのサービスが問題に(2003/09/17)

URL
  米Verisignの運用するSite Finderサイト
  http://www.verisign.com/nds/naming/sitefinder/


( 大和 哲 )
2003/09/19 22:28

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.