セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2016.12.10(土)

セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register)

国際 TheRegister

ドメイン名の専制君主ICANNが、新たなトップレベルドメイン(TLD)拡大をあと1週間、延期することを余儀なくされている。その技術者が、間の悪いセキュリティ脆弱性の影響を分析しようとしているためだ。

同組織のTLD Application System(TAS)は、「.gay」「.london」「.blog」といったgTLDを内密に申し込むため、世界の企業が1月から使用してきたものだが、申し込み者の一部が他の申請者に属する情報を閲覧可能になるバグのため、現在10日間ダウンしている。

ICANNは問題は修正されたと主張しているが、どの申し込み者のデータが、他の申し込み者から見えてしまったかを特定するため、大量のTASログを吟味するのに少なくともあと1週間かかると述べている。

少なくとも3月19日には、ICANNはこのバグについて報告を受けていたが、この問題がいかに深刻なものになり得るかに気付き、停止したのは、申し込み最終締め切りのたった12時間前、4月12日のことだった。

同団体は当初、4月17日までにシステムを再稼働したいと考えていたが、締め切りが過ぎたため、4月20日金曜日までのタイミングでユーザーにアップデートを提供すると約束した。

しかし、週末に登場したアップデートは、4月27日金曜日の終わりまでに、アップデートを提供するという約束にしか過ぎなかった。

「遅くとも2012年4月27日までに、システムおよび申請された新しいドメイン名の発行の再開についてアップデートを提供する」と、COOのAkram Atallahは述べた。

ICANNはメディアからのインタビュー要請を断っているが、金曜、同団体の広報責任者で最高セキュリティ責任者のJeff "The Dark Tangent" Mossとのビデオインタビューを公開し、脆弱性の技術的詳細の一部を説明した。

「以前ファイルを削除したユーザーの複製が難しい特定の状況下で、ファイルをアップロードしたユーザーのファイル名が見えてしまったようです」とMossは語っている。「データを求めていなかったユーザーに特定のデータが表示されましたが、それはスクリーン上でのことに過ぎません。」

Mossは外部の攻撃者がデータにアクセスしていないこと、そして障害の起きたファイルの内容には、そのファイルに権利を持つ申請者以外にはアクセスできないことを請け合った。

とは言え、ファイル名自体に価値があった可能性がある。同じ文字列を申請するアプリケーションがかち合うリスクを軽減する目的で、大部分のgTLD申請は、公表されることなく秘密裏に受け付けている。

ICANNの新たなgTLDプログラムの構築法により、複数の申請の「競合」は、最終的にオークションにかけられる可能性がある。これにより、ほとんどの申請者に守秘の必要性が生じる。

多くの企業が、TASに申請したgTLD文字列にちなんで命名したファイルをアップロードしていることから、機密情報が損なわれた可能性があるのだ。

不正行為の申し立てはまだ成されていないが、ICANNはどのデータが誰によって閲覧可能だったかを、少なくとも申請者に対しては、完全に開示すると約束している。

「我々は全員に通知します。どのファイル名、ユーザー名が、ログインした誰に、いつ表示されたか、分かっているからです」とMoosは言う。「我々はあらゆるごまかしを防止したいと考えており、それを公に行いたいと考えています。どのファイル名、ユーザー名が表示されたか、再現することが可能です。」

TAS再開の遅れは、一部の申請者には評判が良くない。

ドメイン名登録事業者Indomのジェネラル・マネージャーStephane Van GelderはCircleIDの論説で述べている「現在のICANNへのアドバイスは、急げ、ということだ。」

「不具合の影響を受けたかもしれない申請者のデータを全て確認しようと、ぐずぐずするのはやめた方が良い」と、影響力のあるICANNのGNSO評議会議長でもあるVan Gelderは言う。「ICANNの次のアップデートは…以下のようにあるべきだ:『新たなgTLDプログラムを起動に戻すため、我々はTASをやり直す事に決定しました。』」

同組織は現在、最終的な申請の締め切り前の5営業日の間、TASを再開する予定だ。これは早くとも5月4日、すなわち20日の遅れを意味している。その結果、同団体が4月30日に予定していたパブリックコメントの募集を発表する公開日が、延期されることになった。

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. インドの支払システムへの攻撃で300万のデビット カードが危険に~「私達のせいではありません!」 日立ペイメントサービス社は ATM 情報漏えいを否定(The Register)

    インドの支払システムへの攻撃で300万のデビット カードが危険に~「私達のせいではありません!」 日立ペイメントサービス社は ATM 情報漏えいを否定(The Register)

  2. Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

    Philips Hue の電球に侵入する IoT ワーム、電球から電球へ感染し都市全域へ拡大 (The Register)

  3. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

    iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  4. 恐ろしい…SCADA! シュナイダー・エレクトリックの「まったく別の」 PanelShock 脆弱性が明らかに(The Register)

  5. ペースメーカーと除細動器の脆弱性公表前、投機目的で株を空売り(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. サンフランシスコ市営鉄道の駅のシステムや電光掲示板に不正にアクセス、約810万円を要求

  8. [数字でわかるサイバーセキュリティ]大手企業や省庁も逃れられないサイバー攻撃、2016年第4四半期も被害相次ぐ

  9. セキュリティ信頼度のグローバル調査、日本は9位に(Tenable Network Security)

  10. Nimda.E変種ワームが、異なるファイル名を伴って攻撃開始

全カテゴリランキング

特集

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×