権威DNSサーバ共有時に注意、運用ミスでドメインハイジャックが可能に - JPRSが注意喚起

日本レジストリサービス（JPRS）は、権威DNSサーバを共同で利用する際、運用ミスによりドメインハイジャックが可能になるおそれがあるとなるとして、注意を呼びかけた。

親ゾーンから委譲されたDNSサーバを複数の利用者で共有し、利用者に新規ゾーンを設定できるよう許可されている場合、本来ドメイン管理者ではない別の利用者によってドメインをハイジャックできるケースがあるというもの。

具体的には、利用者が「example.jp」を設定した同一の権威サーバ上で、悪意ある利用者が「sub.example.jp」を設定できる場合、「example.jp」のハイジャックが可能となる。

ハイジャックされた場合は、不正サーバへの誘導やフィッシング、クッキーの改変、メールの窃取、SPFレコードの偽装など被害を受ける可能性がある。

対策としては、「サブドメイン」「上位ドメイン」を別の利用者がゾーン設定を行う場合、別のIPアドレスを持つDNSサーバを権威DNSサーバとして利用することで攻撃を防止できる。

また利用者によりゾーンを新規作成を許可する場合、別の利用者による設定済ゾーンのサブドメインや上位ドメインの作成に制限を設けることで、リスクを緩和することが可能。

多くの利用者が本来管理できないトップレベルドメインやセカンドレベルドメインなどの作成を禁止することも潜在的なリスクの軽減になるとしている。

（Security NEXT - 2012/06/25 ）ツイート