イベントレポート

DNS Summer Day 2022

ドメイン名をドロップキャッチされた! そのとき当事者は――長崎県立大学学生自治会が経緯と実情を語る

  • 遠山 孝

2022年8月9日 06:10

 日本DNSオペレーターズグループ(DNSOPS.JP)の主催によるカンファレンス「DNS Summer Day 2022」が6月24日に開催された。アーバンネット神田カンファレンス(東京都千代田区)での現地開催とZoomウェビナーによるオンライン開催のハイブリッド形式で行なわれ、現地会場では、東京都が示す新型コロナウイルス感染症対策の基本方針である「イベントの開催制限等について」に従い、参加人数の制限などが行われていた。今回は、当日の発表の中から、筆者が興味深いと感じた話題をいくつか取り上げる。

[目次]

  1. DNSを使ったセキュリティ機構の普及状況と難易度の関係
  2. ドメイン名をドロップキャッチされた当事者からの事例紹介
  3. 権威DNSサービスの機能調査

DNSを使ったセキュリティ機構の普及状況と難易度の関係

 インターネットは当初、悪意の存在を想定していなかった。そのため、インターネットで古くから運用されているDNSや電子メールといった技術には、セキュリティを高めるための仕組みが後付けで追加されることになった。例えば、受け取ったDNS応答が改ざんされていないことを検証するためのDNSSECや、送信者のメールアドレス詐称によるなりすましを防ぐためのSPFなどは、よく知られたところであろう。

 早稲田大学の矢島雅紀氏の発表「DNSセキュリティ機構の普及状況調査:現状と今後の課題」は、DNSの仕組みを使ったセキュリティ機構の普及率を調べ、普及率に違いが生じる理由について、設定の難易度の観点から考察したものである。調査対象としたセキュリティ機構として、DNSSEC、DNS Cookies、CAA、SPF、DMARC、MTA-STS、DANE、TLS-RPTの8つが示された(図1)。

図1:調査の目的と結果

 矢島氏は、調査対象としたセキュリティ機構の概要を解説した後、具体的な調査手法とその結果について説明した。これらのセキュリティ機構を利用する場合、対応するDNSのリソースレコードを設定する必要があることから、調査対象となったドメイン名にそれらのリソースレコードが設定されているかどうかを、判定基準にしたということである(図2、図3)。矢島氏からは、今回の調査対象としたドメイン名は9999件、IPアドレスは1万2318件であった旨が示された(図4)。

図2:DNSセキュリティ機構で設定されるDNSレコード
図3:調査手法
図4:収集したデータセット

 結果の概要は図1のスライドに書かれているが、ここではDNSに関わる部分の結果を個別に見てみたい。まず、DNSそのものの安全性を高めるDNSSECとDNS Cookiesについては、ルートとトップレベルドメイン(TLD)における普及率が高くなっている。しかし、その下側にあるTop 10で示されるドメイン名では、普及率がかなり低下している(図5)。

図5:DNSの基幹に関わるDNSサーバーでの普及率

 普及率に違いが生じる理由を考察するため、各セキュリティ機構の設定の難易度と設定率の関係を分析した結果、設定難易度の低さと設定率の高さには有意な相関関係があることが判明した旨が、矢島氏から示された(図6、図7、図8)。

図6:セキュリティ機構の設定難易度と設定率の関係を分析するためのスコア定義
図7:最終的な設定難易度のスコア
図8:設定難易度が低いほど設定率は高い

 個人的に注目したいのは、その次に出てきたアンケート結果である。フルサービスリゾルバー(フルリゾルバー、キャッシュDNSサーバー)では、「運用上特に必要ない」と「準備不足」がセキュリティ機構を設定しない主な理由として挙げられている(図9)。これは、権威DNSサーバーでも同様である(図10)。

図9:フルリゾルバーのアンケート結果
図10:権威DNSサーバーのアンケート結果

 この結果は資料に示されている「名前解決に問題が出るリスクの方がセキュリティ上の課題より重要」という問題に行き着く。セキュリティ機構を設定する際には、全体的な仕組みの理解度や運用にかかる負荷といった面も無視できないということであろう。つまり、DNSSECのように初期設定だけでは終わらず、鍵の管理や定期的な署名など、その後の継続的な運用が必要になるセキュリティ機構は、導入の難易度が高くなることになる。

 参加者からの「普及率については、DNSサーバーのデフォルト設定がどのようになっているかに依存する面もあるのではないか」という質問に、矢島氏は「おっしゃる通り。その一方で、正しい運用の設定ができているかという問題もあると思う」と答えている(図11、図12)。

図11:議論―サーバーに対する調査
図12:議論―アンケート調査

 矢島氏からは、BINDやUnboundなど、DNSサーバーソフトウェアの利用率については十分な調査ができておらず、今後の課題である旨が示された。また、今後の展望として、より大規模な調査や、新しく標準化されるセキュリティ機構についての調査も進めたいとのことであった(図13)。

図13:今後の展望

ドメイン名をドロップキャッチされた当事者からの事例紹介

 近年、廃止されたドメイン名がドロップキャッチされ、悪意のある第三者によって悪性サイト[*1]の立ち上げに使われるケースが散見されるようになっている。しかし、なぜドメイン名をドロップキャッチされてしまったのかという経緯や実情については、当事者から語られることが少ない。

[*1]…… フィッシングサイトやマルウェア配布サイト、海賊版サイトなどのように、悪意を持って運用されるサイトのこと。

 ライトニングトーク(LT)セッションにおける長崎県立大学の齋藤脩愉氏の発表「学生自治会のドメイン名がドロップキャッチされてしまったお話」は、その意味で貴重な経験談であった。発表では、長崎県立大学学生自治会が登録・運用していた「sun-campus.com」というドメイン名が、更新を忘れたことをきっかけにドロップキャッチされ、第三者の手に渡ってしまった経緯が述べられた(図14~図17)。

図14:長崎県立大学 学生自治会とは
図15:かつてのsun-campus.com
図16:名前解決できないことから確認を行う
図17:見ず知らずのレジストラがドロップキャッチ

 その上で、可能であればこのドメイン名を取り返したい、もしくはテイクダウン[*2]したい(図18、図19)、そのために、DNS関係者の知恵を借りたいということであった。図20に掲載した「LTで伝えたいこと」のスライドにある状況は、決して他人事ではない。

[*2]…… 停止措置のこと。当該ドメイン名の登録解除、ネームサーバー設定の解除などの方法で使用を停止させる。

図18:自治会の方針と、関わったメンバーの意向
図19:取り返す、もしくはテイクダウンのためのアイデア
図20:このライトニングトークで伝えたいこと

 ドメイン名を取り返すには、裁判による民事手続き、ドメイン名紛争処理方針(DRP)などの方法が考えられるが、いずれも一定の要件が必要になる。参加者からも、「企業の場合であれば知的財産権の侵害でテイクダウンできる可能性はあるが、大学の団体では難しいかもしれない」といった意見が出されていた。

 さらに、仮にドメイン名を取り返して自治会に返還したところで、自治会自身がその後の管理・運用をどうするかが不透明であるとのことで、根本的な問題解決を図るには、ドメイン名の管理に関する体制作りや、指針のズレを解消するところから始めなければならず、地道な努力が必要になることになる。

 また、本筋とは離れるが、「怪しいサイトに誘導されそうなときには(ウイルス感染の危険性もあることから)サンドボックス経由でアクセスすべきだが、今回の調査ではそのような工夫はしたのか」という質問があり、「URLScanを利用した」とのことであった。ドロップキャッチされたドメイン名に限らず、悪性サイトの疑いがあるウェブサイトにアクセスする必要がある場合には、注意したいポイントである。

権威DNSサービスの機能調査

 最後に、中盤で行われたプログラム「権威DNSサービス調査報告~DNSサービスの本質を知ろう~」を取り上げる。この発表は、DNSOPS.JP幹事会が行っている、国内外で提供されている代表的な権威DNSサービスの機能一覧を作成する活動の報告である。この活動は、予備調査を含めると2020年から始まっており、最新情報は「権威DNSサービス調査」として、DNSOPS.JPのページ[*3]で公開されている。

[*3]…… 権威DNSサービス調査
https://dnsops.jp/documents.html

 この調査を始めた動機は、権威DNSサーバーの運用に少しでも不安がある組織に対してDNSの運用をアウトソースすることを勧めたいが、数あるサービスの中からどれを選べば良いかという選択を助けるものとして、サービスを比較できる資料が必要であると考えたところにあるとのことであった(図21、図22、図23)。

図21:調査の背景
図22:調査の目的
図23:調査項目

 報告では、2021年度から2022年度当初までにどのような活動を行ったか、どのような結果が出たのかが示された。発表を聞く限り、ウェブサイトの説明や利用規約などからは判別できない機能については個別にインタビューを行って調査するかたちにならざるを得ないが、回答にはセンシティブなものも多く、匿名化も考えなければいけないのではないかといった悩みもあることが伺えた。DNSOPS.JP幹事会では、調査に対するフィードバックにご協力をいただきたいとのことであった(図24、図25、図26)。

図24:2021年度~2022年度当初 活動の状況
図25:権威DNSサービス普及状況
図26:インタビューの結果

 今回はハイブリッド形式による3年ぶりの現地開催となり、筆者も現地会場で参加した。その結果、オンラインでは難しい発表者と参加者・参加者同士がインタラクションできることの良さを強く感じた。

 オンライン開催は便利ではあるが、直後の休憩時間を使って発表者に対面で直接質問をぶつけるといったことができにくいという難点がある。オンライン会議ツールで質問すればよいのではと考える方もいらっしゃるとは思うが、質問・回答の内容がセンシティブなものであったり、直接の会話の中でしか得られない情報もあったりすることも事実である。早くコロナ禍が終わり、これまで通りのイベントが行えるようになって欲しいと願うばかりである。

 使用された資料はすでにDNSOPS.JPのサイトで公開されている。短く説明することが難しいため紹介のみにとどめるが、例えば株式会社インターネットイニシアティブ(IIJ)の山口崇徳氏による「サーバ証明書を取得する話~DNS屋さんの観点から」のように、資料を一読されることをお勧めしたいものもある。スポンサーセッションでの発表ではあるが、宣伝要素はほぼ無く、情報が豊富でとても興味深い内容であった。関心のあるところだけでもかまわないので、ぜひご覧いただきたい。