セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.02.28(火)

セキュリティのバグでまたもやドット・ワードTLDの争奪戦に遅れ〜ICANNのドメイン拡大が裏目に出て失速(The Register)

国際 TheRegister

ドメイン名の専制君主ICANNが、新たなトップレベルドメイン(TLD)拡大をあと1週間、延期することを余儀なくされている。その技術者が、間の悪いセキュリティ脆弱性の影響を分析しようとしているためだ。

同組織のTLD Application System(TAS)は、「.gay」「.london」「.blog」といったgTLDを内密に申し込むため、世界の企業が1月から使用してきたものだが、申し込み者の一部が他の申請者に属する情報を閲覧可能になるバグのため、現在10日間ダウンしている。

ICANNは問題は修正されたと主張しているが、どの申し込み者のデータが、他の申し込み者から見えてしまったかを特定するため、大量のTASログを吟味するのに少なくともあと1週間かかると述べている。

少なくとも3月19日には、ICANNはこのバグについて報告を受けていたが、この問題がいかに深刻なものになり得るかに気付き、停止したのは、申し込み最終締め切りのたった12時間前、4月12日のことだった。

同団体は当初、4月17日までにシステムを再稼働したいと考えていたが、締め切りが過ぎたため、4月20日金曜日までのタイミングでユーザーにアップデートを提供すると約束した。

しかし、週末に登場したアップデートは、4月27日金曜日の終わりまでに、アップデートを提供するという約束にしか過ぎなかった。

「遅くとも2012年4月27日までに、システムおよび申請された新しいドメイン名の発行の再開についてアップデートを提供する」と、COOのAkram Atallahは述べた。

ICANNはメディアからのインタビュー要請を断っているが、金曜、同団体の広報責任者で最高セキュリティ責任者のJeff "The Dark Tangent" Mossとのビデオインタビューを公開し、脆弱性の技術的詳細の一部を説明した。

「以前ファイルを削除したユーザーの複製が難しい特定の状況下で、ファイルをアップロードしたユーザーのファイル名が見えてしまったようです」とMossは語っている。「データを求めていなかったユーザーに特定のデータが表示されましたが、それはスクリーン上でのことに過ぎません。」

Mossは外部の攻撃者がデータにアクセスしていないこと、そして障害の起きたファイルの内容には、そのファイルに権利を持つ申請者以外にはアクセスできないことを請け合った。

とは言え、ファイル名自体に価値があった可能性がある。同じ文字列を申請するアプリケーションがかち合うリスクを軽減する目的で、大部分のgTLD申請は、公表されることなく秘密裏に受け付けている。

ICANNの新たなgTLDプログラムの構築法により、複数の申請の「競合」は、最終的にオークションにかけられる可能性がある。これにより、ほとんどの申請者に守秘の必要性が生じる。

多くの企業が、TASに申請したgTLD文字列にちなんで命名したファイルをアップロードしていることから、機密情報が損なわれた可能性があるのだ。

不正行為の申し立てはまだ成されていないが、ICANNはどのデータが誰によって閲覧可能だったかを、少なくとも申請者に対しては、完全に開示すると約束している。

「我々は全員に通知します。どのファイル名、ユーザー名が、ログインした誰に、いつ表示されたか、分かっているからです」とMoosは言う。「我々はあらゆるごまかしを防止したいと考えており、それを公に行いたいと考えています。どのファイル名、ユーザー名が表示されたか、再現することが可能です。」

TAS再開の遅れは、一部の申請者には評判が良くない。

ドメイン名登録事業者Indomのジェネラル・マネージャーStephane Van GelderはCircleIDの論説で述べている「現在のICANNへのアドバイスは、急げ、ということだ。」

「不具合の影響を受けたかもしれない申請者のデータを全て確認しようと、ぐずぐずするのはやめた方が良い」と、影響力のあるICANNのGNSO評議会議長でもあるVan Gelderは言う。「ICANNの次のアップデートは…以下のようにあるべきだ:『新たなgTLDプログラムを起動に戻すため、我々はTASをやり直す事に決定しました。』」

同組織は現在、最終的な申請の締め切り前の5営業日の間、TASを再開する予定だ。これは早くとも5月4日、すなわち20日の遅れを意味している。その結果、同団体が4月30日に予定していたパブリックコメントの募集を発表する公開日が、延期されることになった。

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 「大みそかのうるう秒」はCloudflare をどう苦しめ、たった1文字がどうそれを治したか ~ DNSのバグは「時間」の問題だった(The Register)

    「大みそかのうるう秒」はCloudflare をどう苦しめ、たった1文字がどうそれを治したか ~ DNSのバグは「時間」の問題だった(The Register)

  2. MongoDBへのランサムウェア攻撃急増、数時間での被害27,000件~豪州の通信監視機関は無防備なデータベースを報告(The Register)

    MongoDBへのランサムウェア攻撃急増、数時間での被害27,000件~豪州の通信監視機関は無防備なデータベースを報告(The Register)

  3. 中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

    中国の検閲システム「グレートファイアウォール」が未認可のVPNの規制強化(The Register)

  4. 米海兵隊、サイバー戦争に向け兵士 3,000 名増員(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 米大統領選後ユーザー倍増のProtonMailが検閲回避にTor経由サービス提供開始(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. トランプの非アメリカ人のプライバシー権否定の大統領令、大手ネット企業の海外取引への影響(The Register)

  9. 2017年のDDoS攻撃: 深刻な状況に備えて用心を~最悪の2016年、残念ながら2017年も好転しない(The Register)

  10. トランプ氏への政権交代で、米国のサイバーセキュリティはどう変わる?(IPA)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×