This post is also available in: English (英語) 概要 本稿は、DNS (ドメイン ネーム システム) のトンネリング技術が野生で (in the wild) どのような理由と方法で利用されているのかに関する研究をご紹介します。またこの研究結果に基づいて、トンネリング ドメインをツールやキャンペーンに自動的にアトリビュート (帰属) させる弊社のシステムについて取り上げます。 攻撃者は DNS トンネリング技術を採用することで企業ネットワークのセキュリティ ポリシーをバイパスしています。その理由は、ほとんどの企業が DNS トラフィックに対し、比較的寛容なポリシーを実装していることにあります。これまでの調査で、SUNBURST や OilRig などのマルウェア キャンペーンが、コマンド & コントロール (C2) に DNS トンネリング技術を使っ
はじめに 昨年から DNS over TLS (DoT)、DNS over HTTPS (DoH) にまつわる動きが急速に活発になっています。 DoT は2016年に RFC7858 が出てしばらくは大きな動きはありませんでしたが、2017年11月にサービス開始した public DNS である Quad9 (9.9.9.9)、昨年4月開始の Cloudflare (1.1.1.1)が相次いで DoT に正式対応し、遅れて今年1月には Google Public DNS (8.8.8.8) も対応しました。クライアント側としては昨年8月リリースの Android 9 “Pie” が DoT に対応しています。 DoH は仕様の標準化より実装の方が先行しています。Cloudflare は DoT だけでなく DoH も昨年4月のサービス開始当初からサポートしています。Mozilla Fire
2014年11月5日にJPCERT/CC、JPRSがドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。 注意喚起・対策 JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 JPRS (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開) JPRS (PDF) 補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について JPNIC IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起 タイムライン 日付 出来事 9月第1週 Volexityが日経で不正なサイトへの接続を確認。 10月9日 VolexityがBlog記事を公開。 10月15日
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。 内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。 しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります
2014年6月9日 各位 一般社団法人日本ネットワークインフォメーションセンター 内部システムで利用しているドメイン名にご注意! ~名前衝突(Name Collision)問題の周知と対策実施のお願い~ 本件に関連するプレスリリース 今年2014年1月にJPNICからもお伝えした通り(※1)、 ドメイン名などのインターネット資源をグローバルに調整するICANN (The Internet Corporation for Assigned Names and Numbers)によって、 2013年10月から1,300を超える新たなgTLDの委任が順次開始され(※2)、 今後、 インターネット上で多くのTLDが使われ始めることになります。 これにより、 DNSにおける「名前衝突」と呼ばれるセキュリティリスクが、 一般的なユーザーをはじめとする広範囲に発生する可能性が指摘されています。 (※1)
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
一昨日書いた記事に対する補足です。 まず、最初にBGPハイジャックそのものは、世界各所で毎月のように発生しており、別に珍しくもない話です。 そのほとんどが、意図的にトラフィックを乗っ取る目的で行われたものではなく、単なるオペレーションミスであると言われています。 BGPハイジャックで有名なのが、2008年にYouTubeへのトラフィックをパキスタンのISPが吸い込んでしまった事件(参考:RIPE-NCC: YouTube Hijacking: A RIPE NCC RIS case study)ですが、これも意図的にやったのではなく、パキスタン国内向けのネット検閲設定が外部に漏れてしまったというオペレーションミスだったと思われます。 オペレーションミスは、漏らしてしまった側だけではない可能性もあります。 そもそも、/32などのプレフィックス長を持つ経路はフィルタされていることが多いので、普
ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。 https://twitter.com/bgpmon/status/445266642616868864/photo/1 BGPmonのTweetによると、ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因のようです。 ブラジルといえば、ブラジル国民のデータをブラジル国内に留めることを求めた法律が成立したことによって、昨年10月に同国からGoogle Public DNSが撤退しています(Renesys: Google DNS Departs Brazil Ahead of New Law)。 実際のところは知りませんが、その撤退に
昨年12月に、Informational RFCとして、RFC 7085「Top-Level Domains That Are Already Dotless」が発行されました。 そこでは、TLD(Top-Level Domain)そのものにAレコード、AAAAレコード、MXレコードが登録されている、いわゆる「ドット無しドメイン」の一覧が紹介されていますが、一部界隈では「晒し上げRFC」と揶揄されています。 なお、このRFCで「晒し上げられている」TLDはすべてccTLDで、gTLDは一つもありません(その理由を、今回の記事で紹介します)。 要は、「ここで晒されているccTLDは、運用を見直せば?」という圧力の意味合いもあるようです。 ここでポイントなのは、「直せ」と直接的に言っているのではなく、「ドット無しは有害です」「これがドット無しのTLDの一覧です」ということがたんたんと記載されて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く