------------------------------------------------------------------------
[Date Prev
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00007.html>][Date
Next
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00009.html>][Thread
Prev
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00007.html>][Thread
Next
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00009.html>][Date
Index
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/maillist.html#00008>][Thread
Index
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/threads.html#00008>]



  消防庁のドメイン FDMA.GO.JP に存在した危険性(revised)

------------------------------------------------------------------------

  * /To/: bugtraq-jp@xxxxxxxxxxxxxxxxx
  * /Subject/: 消防庁のドメイン FDMA.GO.JP に存在した危険性(revised)
  * /From/: "T.Suzuki" <tss@xxxxxxxxxxxxxxxx>
  * /Date/: Mon, 27 Jun 2005 07:08:14 +0900

------------------------------------------------------------------------

========================================================
消防庁のドメイン FDMA.GO.JP に存在した危険性(revised)
========================================================

2005.6.25 修正 (概要中、GSL.NETの有効期限 7/25 は 6/25 の間違いでした)

概要

消防庁のドメインであるFDMA.GO.JPが、JPレジストリへの登録においてネームサーバ
の一部に利用していたGSL.NETの有効期限が切れ、2005年6月25日には再取得が可能と
なる状態にあった。 これは、6月25日以降、第三者がFDMA.GO.JPを自由に利用できる
危険性があったことを意味する。

報告の主旨

VISA.CO.JPに存在した危険性( http://www.e-ontap.com/ <http://www.e-ontap.com/> 参照 )に続き、いくつもの
ドメインに類似の危険性を発見している。VISA.CO.JPに続き、消防庁のような社会的
に影響の大きなドメインにおいても、運用に問題があったことを事例として提示し、
インターネットへの過信への警鐘と、ドメイン管理の在り方への問題提起としたい。

経緯

--- 2005年5月29日 ---

FDMA.GO.JPはJPレジストリへの登録と、FDMA.GO.JP自身のネームサーバの設定に矛盾
があり、NS1.GSL.NET, NS2.GSL.NETがLame Serverになっていた。

(*.dns.jpの応答)
$ dnsq ns fdma.go.jp a.dns.jp
  (注： a.dns.jp に fdma.go.jp の NSレコードを非再帰で問い合わせ)
2 fdma.go.jp:
140 bytes, 1+0+4+2 records, response, noerror
query: 2 fdma.go.jp
authority: fdma.go.jp 86400 NS ns1.gsl.net
authority: fdma.go.jp 86400 NS ns2.gsl.net
authority: fdma.go.jp 86400 NS ns2.fdma.go.jp
authority: fdma.go.jp 86400 NS www2.fdma.go.jp
additional: ns2.fdma.go.jp 86400 A 61.117.136.193
additional: www2.fdma.go.jp 86400 A 202.216.35.35


(ns2.fdma.go.jpの応答)
$ dnsq ns fdma.go.jp ns2.fdma.go.jp
2 fdma.go.jp:
103 bytes, 1+2+0+2 records, response, authoritative, noerror
query: 2 fdma.go.jp
answer: fdma.go.jp 3600 NS ns1.fdma.go.jp
answer: fdma.go.jp 3600 NS ns3.gip.net
additional: ns1.fdma.go.jp 3600 A 202.216.35.35
additional: ns3.gip.net 107356 A 204.59.64.222

さらにwhoisによると、GSL.NETは以下のようにレジストラの管理下(請戻猶予期間)
に置かれていた。これはある期間が過ぎると、レジストリによりドメイン名が削除
され、第三者が取得可能になることを意味する。

   Domain Name: GSL.NET
   Registrar: NETWORK SOLUTIONS, LLC.
   Whois Server: whois.networksolutions.com
   Referral URL: http://www.networksolutions.com <http://www.networksolutions.com/>
   Name Server: NS1.PENDINGRENEWALDELETION.COM
   Name Server: NS2.PENDINGRENEWALDELETION.COM
   Status: REGISTRAR-LOCK
   Updated Date: 26-may-2005
   Creation Date: 19-may-1995
   Expiration Date: 20-may-2006

--- 2005年6月14日 ---

状況確認のため、NetworkSolutionsのSnapNamesサービス(削除予定のドメインを
予約注文するサービス)で調べてみたところ、
  Releases on: 25-Jun-2005
と表示され、期限が迫っていることがわかった。早急な対応が必要と判断し、
IPAの「ウェブアプリケーション脆弱性関連情報」として届け出を行った。
同日、IPAより、署名付きメールで、
  【IPA#91212099】
   届出情報受信のご連絡(Misconfigured DNS Hijacking (case 2))
を受領

--- 2005年6月16日 ---

WHOIS情報更新の手続きが行われた模様

Domain Information: [ドメイン情報]
a. [ドメイン名]                 FDMA.GO.JP
e. [そしきめい]
f. [組織名]                     自治省消防庁
g. [Organization]               Fire and Disaster Management Agency
k. [組織種別]                   政府機関
l. [Organization Type]          Government
m. [登録担当者]                 HT115JP
n. [技術連絡担当者]             MI080JP
p. [ネームサーバ]               ns1.fdma.go.jp
p. [ネームサーバ]               ns2.fdma.go.jp
p. [ネームサーバ]               ns3.gip.net
[状態]                          Connected (2006/04/30)
[登録年月日]                    1996/04/11
[接続年月日]                    1996/05/16
[最終更新]                      2005/06/16 14:47:04 (JST)

--- 2005年6月17日 早朝 ---

JPレジストリのDNS(*.dns.jp)が更新されて、GSL.NETへの依存が解消。

$ dnsq ns fdma.go.jp a.dns.jp
2 fdma.go.jp:
121 bytes, 1+0+3+2 records, response, noerror
query: 2 fdma.go.jp
authority: fdma.go.jp 86400 NS ns1.fdma.go.jp
authority: fdma.go.jp 86400 NS ns2.fdma.go.jp
authority: fdma.go.jp 86400 NS ns3.gip.net
additional: ns1.fdma.go.jp 86400 A 202.216.35.35
additional: ns2.fdma.go.jp 86400 A 61.117.136.193

しかし、 ns3.gip.net の設定は、*.dns.jp と不整合。意図不明。

$ dnsq ns fdma.go.jp ns3.gip.net
2 fdma.go.jp:
103 bytes, 1+2+0+2 records, response, authoritative, weird ra, noerror
query: 2 fdma.go.jp
answer: fdma.go.jp 3600 NS ns3.gip.net
answer: fdma.go.jp 3600 NS ns1.fdma.go.jp
additional: ns1.fdma.go.jp 3600 A 202.216.35.35
additional: ns3.gip.net 86400 A 204.59.64.222

また、この時点において、GIP.NETは期限切れまで残り10日の状態。
なぜ GIP.NETにこだわるのかも意図不明。

   Domain Name: GIP.NET
   Registrar: TLDS, LLC DBA SRSPLUS
   Whois Server: whois.srsplus.com
   Referral URL: http://www.srsplus.com <http://www.srsplus.com/>
   Name Server: NS2.GIP.NET
   Name Server: NS3.GIP.NET
   Name Server: NS1.GIP.NET
   Status: REGISTRAR-LOCK
   Updated Date: 10-nov-2004
   Creation Date: 28-jun-1996
   Expiration Date: 27-jun-2005

Registrant:
         DNS Operations  (dns.operations@xxxxxxxxxx)
        Equant
        3100 Cumberland Circle
        Atlanta, GA  30339
        US
        678-346-4000

Domain Name: gip.net

Administrative, Technical, Billing Contact:
         DNS Operations  (dns.operations@xxxxxxxxxx)
        Equant
        3100 Cumberland Circle
        Atlanta, GA  30339
        US
        678-346-4000

   Record created on Jun 28 1996.
   Record expires on Jun 27 2005.

Domain servers:
        NS1.GIP.NET
        NS2.GIP.NET
        NS3.GIP.NET

Domain Service Provider:
   Equant, Inc

--- 2005年6月20日 ---

HT115JP から YK12627JP へ、登録担当者の変更手続きが行われた。
しかし、ネームサーバの変更は行われず。

Domain Information: [ドメイン情報]
a. [ドメイン名]                 FDMA.GO.JP
e. [そしきめい]                 そうむしょうしょうぼうちょう
f. [組織名]                     総務省消防庁
g. [Organization]               Fire and Disaster Management Agency
k. [組織種別]                   政府機関
l. [Organization Type]          Government
m. [登録担当者]                 YK12627JP
n. [技術連絡担当者]             MI080JP
p. [ネームサーバ]               ns1.fdma.go.jp
p. [ネームサーバ]               ns2.fdma.go.jp
p. [ネームサーバ]               ns3.gip.net
[状態]                          Connected (2006/04/30)
[登録年月日]                    1996/04/11
[接続年月日]                    1996/05/16
[最終更新]                      2005/06/20 13:24:36 (JST)

--- 2005年6月20日 ---

MI080JP から HS9828JP へ 登録担当者の変更手続きが行われた。
しかし、ネームサーバの変更は行われず。

Domain Information: [ドメイン情報]
a. [ドメイン名]                 FDMA.GO.JP
e. [そしきめい]                 そうむしょうしょうぼうちょう
f. [組織名]                     総務省消防庁
g. [Organization]               Fire and Disaster Management Agency
k. [組織種別]                   政府機関
l. [Organization Type]          Government
m. [登録担当者]                 YK12627JP
n. [技術連絡担当者]             HS9828JP
p. [ネームサーバ]               ns1.fdma.go.jp
p. [ネームサーバ]               ns2.fdma.go.jp
p. [ネームサーバ]               ns3.gip.net
[状態]                          Connected (2006/04/30)
[登録年月日]                    1996/04/11
[接続年月日]                    1996/05/16
[最終更新]                      2005/06/21 12:41:20 (JST)

--- 2005年6月21日 ---

GIP.NETの有効期限が延長された。
これでドメインハイジャックの危険性はひとまず回避されたことになる。
(なぜGIP.NETを使い続けたいのかは不明)

   Updated Date: 21-jun-2005
   Creation Date: 28-jun-1996
   Expiration Date: 27-jun-2006

--- 2005年6月23日 ---

Thu Jun 23 17:54:34 2005 IPAより "【IPA#91212099】 修正完了のご連絡"
を署名付きメールで受領した。

--- 2005年6月25日現在 ---

レジストリのネームサーバとAuthorityのネームサーバは不整合のまま。
また、ns1.fdma.go.jp、ns2.fdma.go.jp は、ns3.gip.net の Aレコード
をキャッシュで返答する。minimum TTL が 3600秒 というのも短く、
いまだ好ましい設定とはいえない状態にある。

$ dnsq ns fdma.go.jp a.dns.jp
2 fdma.go.jp:
121 bytes, 1+0+3+2 records, response, noerror
query: 2 fdma.go.jp
authority: fdma.go.jp 86400 NS ns1.fdma.go.jp
authority: fdma.go.jp 86400 NS ns2.fdma.go.jp
authority: fdma.go.jp 86400 NS ns3.gip.net
additional: ns1.fdma.go.jp 86400 A 202.216.35.35
additional: ns2.fdma.go.jp 86400 A 61.117.136.193

$  dnsq ns fdma.go.jp 202.216.35.35
2 fdma.go.jp:
103 bytes, 1+2+0+2 records, response, authoritative, noerror
query: 2 fdma.go.jp
answer: fdma.go.jp 3600 NS ns3.gip.net
answer: fdma.go.jp 3600 NS ns1.fdma.go.jp
additional: ns3.gip.net 6103 A 204.59.64.222
additional: ns1.fdma.go.jp 3600 A 202.216.35.35

$ dnsq ns fdma.go.jp 61.117.136.193
2 fdma.go.jp:
103 bytes, 1+2+0+2 records, response, authoritative, noerror
query: 2 fdma.go.jp
answer: fdma.go.jp 3600 NS ns1.fdma.go.jp
answer: fdma.go.jp 3600 NS ns3.gip.net
additional: ns1.fdma.go.jp 3600 A 202.216.35.35
additional: ns3.gip.net 6090 A 204.59.64.222

$ dnsq ns fdma.go.jp 204.59.64.222
2 fdma.go.jp:
103 bytes, 1+2+0+2 records, response, authoritative, weird ra, noerror
query: 2 fdma.go.jp
answer: fdma.go.jp 3600 NS ns3.gip.net
answer: fdma.go.jp 3600 NS ns1.fdma.go.jp
additional: ns1.fdma.go.jp 3600 A 202.216.35.35
additional: ns3.gip.net 86400 A 204.59.64.222

------------------------------------------------------------------------

注) man dnsq(1)
NAME
  dnsq - sends a non-recursive DNS query to DNS server
SYNOPSIS
  dnsq t fqdn s
DESCRIPTION
  dnsq  sends  a  non-recursive  DNS query to DNS server s for records of
  type t under the domain name fqdn.  It prints the results in  a  human-
  readable format.

------------------------------------------------------------------------------
鈴木常彦 ／ 中京大学情報科学部 ／ 株式会社リフレクション

*Attachment: pgp2AAEAh9C4c.pgp
<http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/pgp2AAEAh9C4c.pgp>*
/Description:/ PGP signature

------------------------------------------------------------------------

  * *References*:
      o *消防省のドメイン FDMA.GO.JP に存在した危険性
        <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00007.html>*

          + /From:/ T.Suzuki

  * Prev by Date: *消防省のドメイン FDMA.GO.JP に存在した危険性
    <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00007.html>*

  * Next by Date: *SecurityFocus Newsletter #280 2004-12-13->2004-12-17
    [2 of 2]
    <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00009.html>*

  * Previous by thread: *消防省のドメイン FDMA.GO.JP に存在した危険性
    <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00007.html>*

  * Next by thread: *SecurityFocus Newsletter #280
    2004-12-13->2004-12-17 [2 of 2]
    <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/msg00009.html>*

  * Index(es):
      o *Date*
        <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/maillist.html#00008>
      o *Thread*
        <http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/bugtraq-jp/2005.06/threads.html#00008>