Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

TLD の名前によっては動作がおかしくなり、DNS に不具合が発生


2023年9月5日

2023 年 5 月 3 日、Google は新しいトップレベルドメイン(TLD)である「.zip」を導入popup_iconしました。ところが複数のセキュリティ企業が、この導入によって混乱が生じる恐れがあると警告したため、論争が起こっています。

「.zip」で終わる名前をクリックする場合、それはアーカイブファイルを開こうとしているのか、それともインターネットの URL を開こうとしているのか、どちらでしょうか?ZIP ファイル拡張子と ZIP TLD の間で生じる混乱は「名前衝突popup_icon」と呼ばれており、これ自体は新しい現象ではありません。

ICANNpopup_icon によると、名前衝突は「プライベートネットワークにおいて特定の名前で識別されているリソースにアクセスしようとして、パブリック DNS に委任されている、そのリソースと同じ名前のドメインに意図せずアクセスしてしまった場合」に発生します。名前衝突は何年も前から問題になっていました。ICANN が新しい TLD をいくつか導入した 2013 年には、名前衝突問題が発生した場合の対応フレームワークとして、Name Collision Occurrence Management Frameworkpopup_icon も導入されました。

インターネットをナビゲートする際は、ユーザーもプログラムも DNS に依存しています。最悪の場合、パブリック DNS のドメイン名なのか、プライベートネットワーク内のリソース名なのかがわからなくなり、機密データが意図しない受信者の手に渡る可能性もあります。

計画的中断

Name Collision Occurrence Management Framework は、DNS における潜在的な名前衝突をネットワーク管理者に警告するために「計画的中断」を規定しています。このアプローチでは、TLD が特別な DNS レコード(ドメインに関する情報を提供する命令)をルートレベルで公開します。いくつか例を挙げると、メール交換(MX)、サービスロケーション(SRV)、テキスト(TXT)、アドレス(A)などのレコードがあります。内部名が TLD と衝突するネットワークは、「your-dns-needs-immediate-attention.<TLD>」という名前と IP アドレス 127.0.53.53 が含まれている DNS 応答を受け取ります。管理者は、ログでこの応答を確認することで、おそらく問題に対処することができます。

.kids TLD は安全ではない

計画的中断の DNS レコードを公開していると思われる TLD の 1 つが .kids です。たとえば .kids TLD の MX レコードまたは SRV レコードを DNS に問い合わせると、応答として「your-dns-needs-immediate.attention.kids」が返されます。ただし .kids TLD は、何らかの理由によりルートレベルで A レコードを公開しません。これは ICANN のフレームワークに反しています。以前は確かに、ICANN の計画的中断ポリシーに従って 127.0.53.53 の A レコードを返していたのですが、2023 年 1 月に何らかの理由で A レコードの IP アドレスの提供を停止しました。これは、導入後に計画的中断ポリシーが変更されたか、完全には削除されなかったことを示唆しています。

.kids TLD の各種 DNS レコードのホスト名検索

ICANN の名前衝突フレームワークには、ある重要な情報が抜け落ちていました。TLD に「your-dns-needs-immediate-attention.<TLD>」という名前を一般登録できないようにしなければならないというものです。.kids TLD にはこの制限がなかったため、Cisco Talos は次のドメイン名を登録することに成功しました。

    your-dns-needs-immediate-attention.kids

このドメイン名に関連するすべてのアクティビティを記録するためにインターネットサーバーをセットアップしたところ、Microsoft の「System Center Configuration Manager(SCCM)」を実行しているシステムからすぐに膨大な量の HTTP リクエストが届きました。

.kids ドメイン名を使用しているさまざまなエンドポイントが SCCM リクエストを発行

System Center Configuration Manager は、管理者がネットワーク上のコンピュータシステムをリモートで管理するためのツールであり、Microsoft 社は次のように説明しています。

「Configuration Manager は以下のことを可能にして、より効果的な IT サービスを実現します。

  • アプリケーション、ソフトウェア更新プログラム、オペレーティングシステムの安全でスケーラブルな展開
  • 管理対象のデバイスでのリアルタイムのアクション
  • オンプレミスおよびインターネットベースのデバイスに対する、クラウドを活用した分析と管理
  • コンプライアンス設定の管理
  • サーバー、デスクトップ、ラップトップの包括的な管理」

Talos は「your-dns-needs-immediate-attention.kids」というドメイン名を登録したことで、信頼されたシステムに見せかけることができました。.kids ドメイン名を使用しているネットワークが誤って Talos のシステムを信頼した場合、内部メールを中継したり、構成管理設定を指示したりする可能性があります。

Talos のシステムを経由してさまざまな @kids メールアドレスにメールを中継しようとするシステム

Cisco Talos が .kids TLD の管理者に連絡してこれらの問題について情報提供したところ、.kids TLD DNS サーバーの TXT、MX、SRV の DNS レコードは削除されました。

ゾンビ化した DNS

TLD の動作がおかしくなる原因は、名前衝突だけではありません。期限切れの名前や存在しない名前が提示されると正しく応答しない TLD もあります。そのような TLD では、登録されていないドメイン名や期限切れのドメイン名がそのまま IP アドレスに名前解決されます。場合によっては、TLD が MX レコードを公開し、対象の名前の電子メールを収集することさえあります。

通常、有効なドメイン名が登録されていない場合は、そのドメインに対する DNS クエリが「NXDOMAIN」という応答を生成して、所定のドメイン名が存在しないことをユーザーに知らせます。DNS の NXDOMAIN 応答は多くの点で有用です。たとえば電子メールリストの管理者は DNS の NXDOMAIN 応答を使用して、無効な受信者やメールを受信できない受信者をメーリングリストから削除することができます。

.ws ccTLD — 西サモア

.ws は、西サモアに割り当てられている国別トップレベルドメイン(ccTLD)です。「Web サイト」を意味するグローバル TLD としても販売されています。.ws TLD のドメイン名が期限切れになっても(あるいは登録されていない新しいドメイン名の場合でも)、DNS サーバーは「NXDOMAIN」応答を返さず、.ws TLD が IP アドレスと MX サーバーを提示し続けます。

mail.hope-mail.com サーバーが .ws ccTLD の未登録ドメイン名のメールを受け付ける

.vg ccTLD — バージン諸島

.vg は、英領バージン諸島に割り当てられている ccTLD です。.ws ccTLD と同様に、.vg のドメイン名が期限切れになった場合(または登録されていない新しいドメイン名の場合)、DNS サーバーは IP アドレスで応答します。ただし .ws TLD とは違って、.vg はドメイン名に対応する MX サーバーを提示しません。

一見すると、MX レコードが提供されないことは良いことのように思われます。ただし RFC 5321 では、メールアドレスに関連付けられているドメイン名に MX レコードがない場合、「そのアドレスは、そのホストを指す優先度 0 の暗黙の MX RR に関連付けられているものとして扱われる」とされています。つまり SMTP サーバーでは、ドメインの A レコードに関連付けられている IP アドレスにそのメールが配信されるようになっています。

実際、.vg TLD から渡された IP アドレスはポート 25 をリッスンし、存在しないドメイン名の接続を受け入れています。幸いなことに、存在しないドメインにメールを配信しようとすると、エラーメッセージ 550 で失敗します。

.vg で提示された暗黙の MX にメールを送信しようとして失敗した例

.ph ccTLD — フィリピン

.ph は、フィリピンに割り当てられている ccTLD です。.ph では、期限切れになったドメインまたは存在しないドメインへの DNS リクエストに対し、NXDOMAIN 応答は返されません。代わりに、IP アドレス 45[.]79[.]222[.]138 が返されます。

.vg ccTLD とは異なり、.ph TLD から提供される IP アドレスをリッスンしているメールサーバーはありません。期限切れの .ph ドメインにメールを配信しようとすると失敗しますが、ドメイン名自体は名前解決されるので、状況によっては問題が発生する可能性があります。

セカンドレベルの「TLD

ICANN が認可している TLD の公式リスト以外にも、勝手に「TLD」だと謳っているセカンドレベル登録が多数あります。これも、ゾンビ化した DNS 名に対して正しく応答しません。たとえば「com.de」のようなサイトは、正しくは .de TLD のセカンドレベル登録ですが、「ドイツの最新のドメイン拡張子」と謳って、サードレベルでの登録を提供しています。

com.de の期限切れのドメイン名または存在しないドメイン名に対するクエリは、IP アドレスとメールサーバーの両方を返します。

幸いなことに、メールサーバー mail.cash9.com は存在しないドメイン名のメールを受け付けません。

.com.de が提供する MX にメールを送信しようとして失敗した例

同じような状況は、us.org という「TLD」でも見られます。us.org は「社会的責任と倫理的行動についてより高い基準を持つ組織、プロジェクト、Web サイト、人々のための新しいドメイン拡張子」と謳っています。

us.org の期限切れの名前または存在しない名前に対して DNS クエリを発行すると、IP アドレスと複数の MX サーバーが返されます。

.us.org ドメインの MX レコード

us.org の DNS レコードは面白い方法で設定されています。存在しないドメイン名に対しては MX レコードを返すようになっていますが、DNS が返す MX レコードをよく見てみると、最も優先度の低い MX は単にドット [.] であることがわかります。これは NULL MX 設定popup_iconであり、そのドメインのメールサーバーが存在しないことを意味しています。正しく動作するメールサーバーは NULL MX の優先度を認識し、そのアドレスにはメールを配信しません。一方、正しく動作しないメールサーバーは優先度の低い MX を受け入れ、googlemail.com に接続してメールを配信しようとする可能性があります。

 

本稿は 2023 年 08 月 29 日に Talos Grouppopup_icon のブログに投稿された「What’s in a name? Strange behaviors at top-level domains creates uncertainty in DNSpopup_icon」の抄訳です。

Tags:
コメントを書く