2016.07.26(火)

セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register)

国際 TheRegister

ドメイン名の専制君主ICANNが、新たなトップレベルドメイン(TLD)拡大をあと1週間、延期することを余儀なくされている。その技術者が、間の悪いセキュリティ脆弱性の影響を分析しようとしているためだ。

同組織のTLD Application System(TAS)は、「.gay」「.london」「.blog」といったgTLDを内密に申し込むため、世界の企業が1月から使用してきたものだが、申し込み者の一部が他の申請者に属する情報を閲覧可能になるバグのため、現在10日間ダウンしている。

ICANNは問題は修正されたと主張しているが、どの申し込み者のデータが、他の申し込み者から見えてしまったかを特定するため、大量のTASログを吟味するのに少なくともあと1週間かかると述べている。

少なくとも3月19日には、ICANNはこのバグについて報告を受けていたが、この問題がいかに深刻なものになり得るかに気付き、停止したのは、申し込み最終締め切りのたった12時間前、4月12日のことだった。

同団体は当初、4月17日までにシステムを再稼働したいと考えていたが、締め切りが過ぎたため、4月20日金曜日までのタイミングでユーザーにアップデートを提供すると約束した。

しかし、週末に登場したアップデートは、4月27日金曜日の終わりまでに、アップデートを提供するという約束にしか過ぎなかった。

「遅くとも2012年4月27日までに、システムおよび申請された新しいドメイン名の発行の再開についてアップデートを提供する」と、COOのAkram Atallahは述べた。

ICANNはメディアからのインタビュー要請を断っているが、金曜、同団体の広報責任者で最高セキュリティ責任者のJeff "The Dark Tangent" Mossとのビデオインタビューを公開し、脆弱性の技術的詳細の一部を説明した。

「以前ファイルを削除したユーザーの複製が難しい特定の状況下で、ファイルをアップロードしたユーザーのファイル名が見えてしまったようです」とMossは語っている。「データを求めていなかったユーザーに特定のデータが表示されましたが、それはスクリーン上でのことに過ぎません。」

Mossは外部の攻撃者がデータにアクセスしていないこと、そして障害の起きたファイルの内容には、そのファイルに権利を持つ申請者以外にはアクセスできないことを請け合った。

とは言え、ファイル名自体に価値があった可能性がある。同じ文字列を申請するアプリケーションがかち合うリスクを軽減する目的で、大部分のgTLD申請は、公表されることなく秘密裏に受け付けている。

ICANNの新たなgTLDプログラムの構築法により、複数の申請の「競合」は、最終的にオークションにかけられる可能性がある。これにより、ほとんどの申請者に守秘の必要性が生じる。

多くの企業が、TASに申請したgTLD文字列にちなんで命名したファイルをアップロードしていることから、機密情報が損なわれた可能性があるのだ。

不正行為の申し立てはまだ成されていないが、ICANNはどのデータが誰によって閲覧可能だったかを、少なくとも申請者に対しては、完全に開示すると約束している。

「我々は全員に通知します。どのファイル名、ユーザー名が、ログインした誰に、いつ表示されたか、分かっているからです」とMoosは言う。「我々はあらゆるごまかしを防止したいと考えており、それを公に行いたいと考えています。どのファイル名、ユーザー名が表示されたか、再現することが可能です。」

TAS再開の遅れは、一部の申請者には評判が良くない。

ドメイン名登録事業者Indomのジェネラル・マネージャーStephane Van GelderはCircleIDの論説で述べている「現在のICANNへのアドバイスは、急げ、ということだ。」

「不具合の影響を受けたかもしれない申請者のデータを全て確認しようと、ぐずぐずするのはやめた方が良い」と、影響力のあるICANNのGNSO評議会議長でもあるVan Gelderは言う。「ICANNの次のアップデートは…以下のようにあるべきだ:『新たなgTLDプログラムを起動に戻すため、我々はTASをやり直す事に決定しました。』」

同組織は現在、最終的な申請の締め切り前の5営業日の間、TASを再開する予定だ。これは早くとも5月4日、すなわち20日の遅れを意味している。その結果、同団体が4月30日に予定していたパブリックコメントの募集を発表する公開日が、延期されることになった。

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

編集部おすすめの記事

特集

国際 アクセスランキング

  1. ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

    ここが変だよ日本のセキュリティ 第23回「セキュリティ対策の弱点探しキーワード 後篇」

  2. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

    Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  3. 米国ミズーリ州オファロンで「Pokemon GO」ユーザーを狙う強盗事件が発生、「ビーコン」を使って被害者を誘い出す

    米国ミズーリ州オファロンで「Pokemon GO」ユーザーを狙う強盗事件が発生、「ビーコン」を使って被害者を誘い出す

  4. 欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(1)(The Register)

  5. SCAN DISPATCH :クビになったシステム管理者の置き土産は、全サーバのデータを消去する「rm -rf 」論理爆弾!

  6. 欧州連合(EU)がサイバー セキュリティに1.8億ユーロ投資する ~ 英国はこの投資を欲しがる?貰える?おそらく…(2)(The Register)

  7. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  8. 物理的に隔離された SCADA システムでさえも安全ではない~これからの Stuxnet 型攻撃を専門家が警鐘 (The Register)

  9. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  10. Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★ Scanもアップグレードしませんか?7月末まで Scan PREMIUM が最大 5,000 円割引となるキャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×