2017年9月27日(PDT)、 DNSのルートゾーンを管理するICANNが、 現在実施中のルートゾーンKSKロールオーバーに関するスケジュールを変更すると発表しました。 KSK Rollover Postponed https://www.icann.org/news/announcement-2017-09-27-en ICANNによる報道発表の日本語訳「ICANN、ドメインネームシステムを守る鍵の更新を延期」 https://www.icann.org/resources/press-material/release-2017-09-28-ja 具体的には、KSKロールオーバーの作業のうち、 2017年10月11日に予定していた新しい鍵による署名の開始が先送りとなりました。 ICANNの発表によれば、最近の調査によって、 ISPなどインターネット上で利用されるリゾルバのうち、 相当な
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 ブログを書こうと思っていたけれど、IGCJ members ML に投稿したのでそれを転載します。意見のある方はぜひ IGCJ members ML へ。ただし IGCJ を本当にインターノットガバナンスの場と考えて良いかは疑問に思っていますけれど。 総務省高村様からこちらで議論するのがよかろうと伺って投稿させて頂きます。 DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性 http://www.soumu.go.jp/menu_news/s-news/02kiban04_04000212.html という総務省の注意喚起文書に色々疑問があって総
DNS に依存している 腐り沈みゆく船 (DNS) の上に継ぎ足しで新しい船を築くのは愚か DNSSEC は難しすぎる 強度の弱い暗号を用いているため、鍵を定期的に更新しなければいけない (そして失敗) 鍵を証明する情報を定期的に上位組織 (委任元) に預けて署名し直してもらわなくてはいけない (そして失敗) ルートの鍵を証明する情報を定期(?)的に世界の検証サーバたちに配布し直さなくてはいけない (歴史上始めての更新が今年行われつつあり障害発生が危惧されている) 運用事業者の移管の際に事業者間で安全に鍵を受け渡すことが困難 運用事業者の移管の際に一旦署名を外すのは安全性と可用性を下げる DNSSEC 署名対応事業者から非対応事業者への移管で事故も起きている (移管元も移管先も委任元に預けた鍵情報を消さなかったのが原因 / 一部の有志たちが作成したガイドラインがあって移管先が消すことになっ
経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP(S)プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1:Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名(FQDN)からIPアドレスなどの情報を得るためにDNSサーバとの
--------------------------------------------------------------------- ■(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策 について(2015年5月26日更新) 株式会社日本レジストリサービス(JPRS) 初版作成 2014/11/05(Wed) 最終更新 2015/05/26(Tue) (JPドメイン名におけるレジストリロックサービスの提供を反映) --------------------------------------------------------------------- ▼概要 JPRSでは2014年9月から10月にかけ、国内の組織が運用する複数の.comサイ トが、ドメイン名の登録情報の不正書き換えによるドメイン名ハイジャック の被害を受けたという情報を入手しました。この攻撃手法では
各位 JPCERT-AT-2014-0044 JPCERT/CC 2014-11-05 <<< JPCERT/CC Alert 2014-11-05 >>> 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140044.html I. 概要 JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正 に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン 名ハイジャックのインシデント報告を複数受領しています。 ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名 ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧す る際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意 したサーバに接続していたこと
ドメイン名ハイジャックがマルウェア感染サイトへの誘導に悪用、国内組織の「.com」で被害発生:対策は脆弱性対応やアカウント管理、書き換えに「気付く」手段の併用も 2014年9月から10月にかけて、ドメイン名登録情報の不正な書き換えによる「ドメイン名ハイジャック」が発生し、当該サイトにアクセスしたユーザーがマルウェア配布を試みる不正なサイトに誘導される事態が発生していたとし、JPCERT/CCやJPRSが注意を呼び掛けている。 2014年9月から10月にかけて、ドメイン名登録情報の不正な書き換えによる「ドメイン名ハイジャック」が発生し、当該サイトにアクセスしたユーザーが、それと知らずにマルウェア配布を試みる不正なサイトに誘導される事態が発生していた。国内組織が利用している複数の「.com」ドメインで被害が確認されたといい、JPCERTコーディネーションセンター(JPCERT/CC)や日本レジ
なぜ、DNSはキャッシュポイズニング攻撃の危険に(まだ)さらされるのか:管理者、そしてユーザーにできる対策は?(1/2 ページ) 日本レジストリサービス(JPRS)は2014年4月15日に、「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急注意喚起を公開した。この文書の背景とDNSサーバーに求められるセキュリティ対策について、JPRSに聞いた。 2014年4月15日、日本レジストリサービス(JPRS)が「キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という緊急の注意喚起を公開した(関連記事)。この注意喚起の意味するところは幾つか考えられるが、最も重要なのは、今もなお10%程度残っていると発表された危険なキャッシュDNSサーバーの存在であろう。 今も残っている危険なキャッシュDNSサーバー 今回公開された注意喚起は、
--------------------------------------------------------------------- ■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~ 株式会社日本レジストリサービス(JPRS) 初版作成 2014/04/15(Tue) 最終更新 2014/05/30(Fri) (対策に関するDNS運用者向け文書へのリンクを追加) --------------------------------------------------------------------- ▼最近の状況 最近、日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えら れるキャッシュDNSサーバーへのアクセスが増加している旨、JP
キャッシュポイズニングの開いたパンドラの箱 -2- Opened Pandora's box of Cache Poisoning -2- 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) 移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥 今回、委任インジェクション攻撃に加え、さらに RFC2181 の欠陥を突いた攻撃が可能であることを確認した。 委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。 これにより、現状では別途示した 1, 2, 3 の条件に関係なく容易に毒入れすることが可能である。 攻撃者は以下のようにターゲットのゾーンの NS を偽権威に向けることができる。
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 本日、JPRS がようやく重い腰をあげて注意喚起を発してくれましたが、その内容は危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません。 一方で注意深い攻撃者が探せば、ネット上にはすでに深刻な攻撃を行うのに必要な情報は十分に流れています。特に、JPRS が3月に慌てて co.jp などにこっそり入れた署名付き TXT レコードは大きなヒントに見えます。 DNS に詳しい攻撃者であれば、攻撃手法に辿りつくのは時間の問題でしょう。(すでに攻撃は行われているかも知れません) 長く秘密にしておくことは得策ではないと判断し、防御する側の心構えと手助けにし
各位 <<< オープンリゾルバ確認サイト公開のお知らせ >>> JPCERT/CC 2013-10-31 I. 概要 JPCERT/CCは、お手元の PC からオープンリゾルバの確認ができるサイトを公開いたしました。 オープンリゾルバ確認サイト http://www.openresolver.jp/ オープンリゾルバとは、外部の不特定の IP アドレスからの再帰的な問い合わせを許可している DNS サーバのことです。オープンリゾルバは国内外に多数存在し、大規模な DDoS 攻撃の踏み台として悪用されているとの報告があります。 JPCERT/CC Alert 2013-04-18 JPCERT-AT-2013-0022 DNS の再帰的な問い合わせを使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130022.html また、DN
国内のオープンリゾルバがDDoS攻撃に悪用、JPCERT/CCが注意喚起:バンドルなどで意図せず動作しているDNSサーバにも注意を JPCERTコーディネーションセンター(JPCERT/CC)は4月18日、日本国内にあるオープンリゾルバがDDoS攻撃に利用されているという報告が寄せられているとし、注意を呼び掛けた。 JPCERTコーディネーションセンター(JPCERT/CC)は4月18日、日本国内にある、設定が不適切な状態のDNSキャッシュサーバがDDoS攻撃に利用されているという報告が寄せられているとし、注意を呼び掛けた。 これに先立つ3月18日から22日ごろにかけて、海外で「史上最大規模」ともいわれるDDoS攻撃が発生していた。ピーク時のトラフィックが300Gbpsに達したほど大規模なものだったが、その手段として利用されたのが、外部からの再帰的な問い合わせを許可しているDNSキャッシュ
で、こっちが本題。 普段はあまり、こういう事象については触れない(つぶやく程度)にしているんですが、抱えている危険性が大きすぎる気がするので、正確でない箇所があるとしても書いておこうと思いました。 経緯 前投稿で書いたように、例えばメール送受信は、DNSサーバが正しく(意図したとおりに)設定されていることが大前提として機能しています。 従来、「メールセキュリティ」といえば前投稿の2つ目の手順(SMTP通信)の方がキーであって、DNSで名前解決までは(DNS毒入れ以外は)信用できる前提でした(過去形)。 ところが、お名前.com 、忍者ツールズが関連した、この前提が無効化されるような事象が発生しています。 詳細は http://www.geekpage.jp/blog/?id=2012/7/18/1 あたりが詳しいのでご覧いただければと。 レジストラがそんなことをしてしまうこと、そしてレジス
さくらインターネット株式会社のDNSサービスにセキュリティ上の問題がありましたが、改修されましたので報告します。 DNSサービスへのドメイン登録時における不具合について 障害内容 : 当社の提供するネームサーバサービスにおいて、既に登録されているドメインのサブドメインが、他の会員IDの方に登録できる状態となっておりました。この障害により、悪意のある第三者がドメインの一部を乗っとれる脆弱性につながる危険性がありました。 本問題につきましては現在は解消されており、全ての登録について不正がないかの調査を行っております。 この問題の発見者は前野年紀氏で、私はさくらインターネット株式会社に問題を通告し、改修を促すための連絡などでお手伝いをしました。 (12:00追記)なお、この脆弱性が混入したのは6月8日頃で、さくらインターネットは6月11日から修正を開始し、昨日(6月13日)には改修されましたので
各位 JPCERT-AT-2012-0008 JPCERT/CC 2012-03-06(初版) 2012-03-07(更新) <<< JPCERT/CC Alert 2012-03-06 >>> DNS 設定を書き換えるマルウエア (DNS Changer) 感染に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120008.html I. 概要 JPCERT/CC では、DNS 設定を書き換えるマルウエア(以下、DNS Changer) に 関する情報を入手しました。DNS Changer は2007年頃にはじめて検出された マルウエアですが、DNS Changer に感染した PC は、現在でも世界中で数十万 台以上存在し、日本国内でも相当数の PC が感染しているとのことです。 また、2011年11月に米国連邦捜査局 (FBI)により、不正な D
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
