Contents
| /毒盛 |
1. co.jp の危険性
2014 年 2 月に指摘したことです。 -- ToshinoriMaeno 2014-05-11 23:39:50
NS レコードを持たないドメイン名に対しては「偽ゾーンキャッシュ毒盛攻撃」が容易に成立します。 (../ゾーンなしドメイン名 にも書きました。)
- co.jp だけではありません。 属性型JPドメイン名がすべて該当すると考えています。
類似の構成はjp 下だけでなく、世界中に多数存在しています。 (fr の下も) watchNS/ssi.gouv.fr
攻撃は単純です。Mueller 手法を適用するだけです。
このことに気づかなかったのを我々は反省する必要があります。
- DNSSEC推進に利用されることを心配していたのかもしれません。
2014年2月半ばにJPRSに連絡しました。でも、3か月が過ぎようとしているいまでも表だった対応はされていません。
- Kaminsky 攻撃対策としてのポートランダム化されていないキャッシュに対する警告(2014-05-15)と 5月中に公表される予定という資料にのりそうなほのめかしがあるだけです。 われわれに見えていないところで対応されていることを願うばかりです。
-- ToshinoriMaeno 2014-05-06 23:23:05
2. DNSSEC でも危ない
DNSSECで署名されていない偽 co.jp ゾーンが作られると、 *.co.jp ドメインはすべて毒盛される
- DNSSECなしのゾーンは認めないというような方針でもないかぎり、危ない。
これに対処するためか、 co.jp ドメイン名には TXT レコードが設定された。 (2014-03)