セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register)

2012年6月21日(木) 08時30分
このエントリーをはてなブックマークに追加
ドメイン名の専制君主ICANNが、新たなトップレベルドメイン(TLD)拡大をあと1週間、延期することを余儀なくされている。その技術者が、間の悪いセキュリティ脆弱性の影響を分析しようとしているためだ。

同組織のTLD Application System(TAS)は、「.gay」「.london」「.blog」といったgTLDを内密に申し込むため、世界の企業が1月から使用してきたものだが、申し込み者の一部が他の申請者に属する情報を閲覧可能になるバグのため、現在10日間ダウンしている。

ICANNは問題は修正されたと主張しているが、どの申し込み者のデータが、他の申し込み者から見えてしまったかを特定するため、大量のTASログを吟味するのに少なくともあと1週間かかると述べている。

少なくとも3月19日には、ICANNはこのバグについて報告を受けていたが、この問題がいかに深刻なものになり得るかに気付き、停止したのは、申し込み最終締め切りのたった12時間前、4月12日のことだった。

同団体は当初、4月17日までにシステムを再稼働したいと考えていたが、締め切りが過ぎたため、4月20日金曜日までのタイミングでユーザーにアップデートを提供すると約束した。

しかし、週末に登場したアップデートは、4月27日金曜日の終わりまでに、アップデートを提供するという約束にしか過ぎなかった。

「遅くとも2012年4月27日までに、システムおよび申請された新しいドメイン名の発行の再開についてアップデートを提供する」と、COOのAkram Atallahは述べた。

ICANNはメディアからのインタビュー要請を断っているが、金曜、同団体の広報責任者で最高セキュリティ責任者のJeff "The Dark Tangent" Mossとのビデオインタビューを公開し、脆弱性の技術的詳細の一部を説明した。

「以前ファイルを削除したユーザーの複製が難しい特定の状況下で、ファイルをアップロードしたユーザーのファイル名が見えてしまったようです」とMossは語っている。「データを求めていなかったユーザーに特定のデータが表示されましたが、それはスクリーン上でのことに過ぎません。」

Mossは外部の攻撃者がデータにアクセスしていないこと、そして障害の起きたファイルの内容には、そのファイルに権利を持つ申請者以外にはアクセスできないことを請け合った。

とは言え、ファイル名自体に価値があった可能性がある。同じ文字列を申請するアプリケーションがかち合うリスクを軽減する目的で、大部分のgTLD申請は、公表されることなく秘密裏に受け付けている。

ICANNの新たなgTLDプログラムの構築法により、複数の申請の「競合」は、最終的にオークションにかけられる可能性がある。これにより、ほとんどの申請者に守秘の必要性が生じる。

多くの企業が、TASに申請したgTLD文字列にちなんで命名したファイルをアップロードしていることから、機密情報が損なわれた可能性があるのだ。

不正行為の申し立てはまだ成されていないが、ICANNはどのデータが誰によって閲覧可能だったかを、少なくとも申請者に対しては、完全に開示すると約束している。

「我々は全員に通知します。どのファイル名、ユーザー名が、ログインした誰に、いつ表示されたか、分かっているからです」とMoosは言う。「我々はあらゆるごまかしを防止したいと考えており、それを公に行いたいと考えています。どのファイル名、ユーザー名が表示されたか、再現することが可能です。」

TAS再開の遅れは、一部の申請者には評判が良くない。

ドメイン名登録事業者Indomのジェネラル・マネージャーStephane Van GelderはCircleIDの論説で述べている「現在のICANNへのアドバイスは、急げ、ということだ。」

「不具合の影響を受けたかもしれない申請者のデータを全て確認しようと、ぐずぐずするのはやめた方が良い」と、影響力のあるICANNのGNSO評議会議長でもあるVan Gelderは言う。「ICANNの次のアップデートは…以下のようにあるべきだ:『新たなgTLDプログラムを起動に戻すため、我々はTASをやり直す事に決定しました。』」

同組織は現在、最終的な申請の締め切り前の5営業日の間、TASを再開する予定だ。これは早くとも5月4日、すなわち20日の遅れを意味している。その結果、同団体が4月30日に予定していたパブリックコメントの募集を発表する公開日が、延期されることになった。

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

注目ニュース

icon

DNSに関する本の著者でDNSアプライアンス企業Infobloxのアーキテクチャー部門副社長のCricket Liuは、ゴーストドメインが潜在的な脅威をもたらすことを認めているが、この問題は特に深刻でもなければ、防止が難し...

icon

 2008年10月10日に開催されたBlack Hat Japan 2008で、「インターネットは壊れている:Document.Cookieのむこう側」というテーマでネイサン・マクフィーター氏が発表した。マクフィーター氏はGIFファイルに手を加...

icon

米国のIPアドレス国際管理団体であるInternet Corporation for Assigned Names and Numbers(ICANN)は4月29日(現地時間)、同団体のセキュリティ部門最高責任者に「Black Hat」や「DEFCON」といったハッカーイ...

icon

JPRSは「ghost domain names(幽霊ドメイン名)」の脆弱性に関する文書を発表した。この脆弱性は、研究発表会「NDSS Symposium 2012」において発表された論文で指摘されたもの。

icon

中国のCNCERT(国家コンピューターネットワーク緊急技術処理協調センター)が9月16日に発表した「ネットワークセキュリティ情報と動態週報-2011年第37期」によれば、CNCERTによる独自モニターおよび外部からの報...

icon

NISCは、4月18日に開催された「第5回情報セキュリティ対策推進会議(CISO等連絡会議)」で、大半の政府ドメイン(xxx.go.jp)において送信側における送信ドメイン認証技術SPFの導入が完了したことが報告されたと...

RSS

特集・連載

国際アクセスランキング

国際ニュースを対象にした、直近24時間のアクセスランキングです

ピックアップフォト