あるDNSサーバのTTLの短さとLame DelegationについてIPAに報告したら

届出内容を確認したところ、下記の判断理由の通り、本枠組みにおける
脆弱性ではないとの判断に至った為、取扱いを終了させて頂こうと考え
ておりますが、如何でしょうか。

取扱いに問題がある場合は 10 営業日を目処にご連絡をお願い致します。

ただし、取扱いを終了した場合でも、参考情報としてウェブサイト運営
者へ連絡したいと考えております。

【判断理由】

  • ------------------------------------------------------------------

届出頂いた情報は 2 点ありますので、それぞれ分けて判断理由を記載い
たします。

■1. TTL 値が短い点について
A レコードの TTL 値が短いというご指摘に関しまして、ガイドライン
おける「ウェブアプリケーションにおいて、ウェブサイト運営者の不適
切な運用によって、(中略)セキュリティが維持できなくなっている状
態」に該当するか検討いたしました。

まず、参考文献で頂いた情報から、TTL 値が短い事で DNS キャッシュポ
イズニングのリスクが高まる事は同意いたします。

しかし、A レコードの TTL 値につきまして、RFC2181 等を確認した所、
A レコードの TTL 値に関する推奨値等の取り決めはありませんでした。
また、IPA で確認した限り TTL 値が小さい事により DNS キャッシュポ
イズニングに対して脆弱であると言える情報は確認できませんでした。
参考文献の文中に記載されている通り、A レコードのTTL 値が 30 と短
い場合は攻撃が成功する確率が高まります。しかし、文献にもある通り
CDN 等のような意図的に TTL 値を短く設定している場合があります。そ
のため、運営者の設定が不適切かどうかは判断出来ません。

よって、本届出はガイドラインにおける「ウェブアプリケーションにお
いて、ウェブサイト運営者の不適切な運用によって、個人情報等が適切
なアクセス制御の下に管理されておらずセキュリティが維持できなくな
っている状態」には該当しないと判断しました。

■2. Lame Delegation 状態である点について
Lame Delegation 状態によって DNS キャッシュポイズニングが容易にな
るとのご指摘に関してですが、Lame Delegation 状態でない場合に比べ
DNS キャッシュポイズニングに対してリスクが高まることは同意いた
します。ただし、リスクが高まる条件は「カミンスキーアタック」を行
わない手法に限定されると思われます。

Lame Delegation 状態のドメインは権威 DNS サーバへの問い合わせ回数
が正常な状態に比べて増加するため、毒入れが成功する可能性が上がり
ます。しかし、「カミンスキーアタック」によって Lame Delegation 状
態では無いキャッシュサーバへも問い合わせ回数を増加させることがで
きます。そのため、毒入れが成功する確率は最大でも「カミンスキーア
タック」と同等であると判断しました。

「カミンスキーアタック」を実行される事はネットワークの仕組み上防
げない事から「カミンスキーアタック」以上の成功率が考えられる場合、
脆弱性と判断する可能性があります。しかし、本問題を悪用した場合の
功率は同程度の問題であるため、ガイドラインにおける「ウェブアプ
リケーションにおいて、ウェブサイト運営者の不適切な運用によって、
個人情報等が適切なアクセス制御の下に管理されておらずセキュリティ
が維持できなくなっている状態」には該当しないと判断しました。

但し、当該ドメインの設定が「Lame Delegation」状態である事につき
まして、不適切な状態であるためウェブサイト運営者に参考情報として
通知すべきと判断しました。

  • --

1のTTLの短さについての回答は言いたいことはわかるが・・・。
2のLame DelegationによるDNSキャッシュポイズニングに対しての弱さは、カミンスキー型攻撃手法がある以上、今更そんな問題どうでもいいよっていうのがIPAの見解らしい。
なんだかなぁ・・・


追記(2014/12/31)
私がIPAに送った報告内容のうち、lame delegationについて報告した部分を記載します。digコマンドの結果と実在するホスト名は隠しました。改変した内容は[]に囲まれています。

(引用始まり)

以下はa.dns.jpに対して[www.example.jp]のAレコードについて非再帰問い合わせをしたdigコマンドです。

[ここにdigコマンドが入る]

上記のAUTHORITY SETIONのNSレコードのひとつである、 [ns1.example.net] は稼働していません。
これはLame delegationです。


キャッシュサーバが[ns1.example.net]に問い合わせをした場合、[ns1.example.net]は稼働していないので、
応答がありません。その無応答時間を利用してより大量の偽応答をキャッシュサーバに送信することでDNSキャッシュポイズニングがしやすくなります。

(引用終わり)

また、Twitter上で、lame delegationによってリスクが高まるのはlame delegationがどのようなものかによると指摘されましたが、今回はns1.example.netからの応答が返ってこなく、タイムアウトになるケースです。

追記終わり(2014/12/31)