Youtubeにアップロードされていたので備忘録としてリンクを作成。
サブドメインという言葉は定義が曖昧で色々な意味で使われるので、あまり好きではない。
けれど今回は、日本のDNSの総元締めのJPRSの資料で明示されていることなので、「www.*.jpのような*.jpというドメインにホスト名を足したもの」をサブドメインと定義して、以下を視聴してみた。
以下感想。
要旨はサブドメインテイクオーバーの説明とそれらを抑止するための対策。
付随するサブドメインテイクオーバーに関する予備知識の説明。
■前菜(メインのための予備知識)
●5分で学べる!ドメイン名の基礎知識 / Interop Tokyo 2021
以前からDNSサーバーについて最低限の知識を得るためにはドメインに関する知識を知らないと始まらない、と思っていた。
なのでDNSに関するの説明をする前にTLD,gTLDの話を入れていたことは良いとだと思う。
また5分で説明する内容としては妥当だと思った。個人的には10分で説明してもらえると更に嬉しい。
いわゆるWebサイトに設置するSSL証明書の説明。
DNSに関する説明で、証明書の話が出てきたので珍しいなと思っていたら、後でサブドメインテイクオーバー対策として証明書を提示しないとDNSの設定を許可しないようにするという運用をすべき、というお話が出てきており、この運用の説明するためにあえて先に説明したのだな、と納得。
これも5分で説明する内容としては妥当という印象。
なんか豪華。これも10分で説明してもらえるともっと有難かったかな。
■主菜(今回の要旨)
●5分で学べる!サブドメインテイクオーバー
これまた発表者はOrange氏。
CDN事業者のDNSサーバー上で不要なCNAMEの設定(lame delegation?)を放置すると、悪意ある第三者に悪用されてしまう(サブドメインテイクオーバーされる)よ、不要な設定は消してくださいという内容(だった気がする)。
これまた発表者はOrange氏。
サブドメインテイクオーバーの詳細の説明と詳しい防止策について言及。
極論すると、5分で学べる!サブドメイン~の詳細版。
「利用者の防止対策」と「事業者の防止対策」が今回の一番大事なところか。
説明しづらい内容がコンパクトにまとめられており分かりやすかったと思う。
閑話休題
防止策の中で気になったことがある。
悪意ある第三者が管理外のドメインを設定してしまえる仕組みがAkamaiCDNなどにあるのか、ということ。ありそうなニュアンスは漂わせていたが、そこに対する言及はなかった。
話は変わるが、昔働いていたレンサバの会社では、ドメインorサブドメインのネームサーバーの参照先が自社DNSだった場合、どの契約アカウントからでもそのドメインを設定できてしまうというとんでもないガバガバ環境だった。
しかも当時は「インターネットってそんなもんだから。DNS(BIND)にはドメイン単位で権限を制限する機能は実装していないし、複数アカウントを持っているユーザーがいた場合を考えるとあるがままの機能を提供することは仕方がない。それが当たり前。」
だと思っていた。今になって考えると古巣の権限管理の杜撰さと自分の認識の甘さに寒気がする。
話は戻る。
もしもAkamaiCDNにも古巣のDNSと同じ(権限ガバガバ)環境だとしたら寒気どころの話ではない。
世界最大級のセキュリティインシデント製造機になってしまう。
稼働率100%でもCDNとかWAFとか付いていても危険すぎてAkamai使えなくなってしまいますわ。
コメント