2016.07.24(日)

「ghost domain names(幽霊ドメイン名)」の脆弱性に関する文書を発表(JPRS)

調査・レポート・白書 調査・ホワイトペーパー

株式会社日本レジストリサービス(JPRS)は2月17日、「ghost domain names(幽霊ドメイン名)」の脆弱性に関する文書を発表した。この脆弱性(CVE-2012-1033)は、2月8日(米国時間)に開催された研究発表会「NDSS Symposium 2012」において、清華大学のHaixin Duan(段海新)氏らのグループが発表した論文「Ghost Domain Names: Revoked Yet Still Resolvable」で指摘されたもの。また2月7日(米国時間)、BINDの開発元であるISCが緊急のセキュリティアドバイザリを公開し、論文発表時点におけるBIND 9のすべてのバージョンが、この脆弱性の影響を受けることを公表している。

TLDレジストリなどの親ゾーンにおいて、委任情報(NSレコード)を強制的に削除することは、フィッシングやボットネットの制御、マルウェアの伝播など、不正な目的で使われているドメイン名を強制的に使用不能にする際の有効な手段となっている。しかし、今回発表された論文では、親ゾーンで委任情報が削除されたことにより、本来であれば名前解決が不可能になるはずのドメイン名を、委任情報の削除後も長期にわたって名前解決可能、つまり使用可能な状態にし続けるように仕向けることができるとしている。ただし、この脆弱性の影響を受けるのはキャッシュDNSサーバのみであり、再帰検索要求を受け付けないように設定されている権威DNSサーバでは影響を受けない。また本脆弱性により、現在使用中のドメイン名の権限が奪われることもないとしている。
《吉澤 亨史》

編集部おすすめの記事

調査・レポート・白書 アクセスランキング

  1. 脆弱性報告、Webアプリが引き続き大半を占める--四半期レポート(IPA)

    脆弱性報告、Webアプリが引き続き大半を占める--四半期レポート(IPA)

  2. 検疫の現実解、次世代検疫ネットワークの違いと重要性

    検疫の現実解、次世代検疫ネットワークの違いと重要性

  3. スマートフォンの紛失問題の調査結果を発表、1年間で142,706台が紛失(マカフィー、Ponemon Institute社)

    スマートフォンの紛失問題の調査結果を発表、1年間で142,706台が紛失(マカフィー、Ponemon Institute社)

  4. モバイルマルウェア感染の被害額、1台あたり106万円--グローバル調査(ルックアウトジャパン)

  5. 子どもが利用するスマホアプリを制限している保護者、全体の4割以下に留まる(トレンドマイクロ)

  6. 日本の情報セキュリティ 2015 年度市場規模 9,000 億円 突破を予測、情報セキュリティ保険も伸長(JNSA)

  7. 2014年の不正アクセス認知件数は3,545件、前年より594件増加(総務省ほか)

  8. インターネット犯罪対策の啓発Webマンガ公開(BBソフトサービス)

  9. 東京五輪に向けて監視カメラ需要が拡大、2017年には500億円市場に(富士経済)

  10. 子供の学力を伸ばすためのスマホ、SNS利用とは(トレンドマイクロ)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×