日経の パブリック DNS の記事について
SNSだけじゃない ネット基盤「DNS」にも漏洩リスク :日本経済新聞
2018年4月、「1.1.1.1」という名前のWebサイトが公開された |
冒頭からよく分からない、1.1.1.1 はインターネットアドレスだが、Webサイトではない。
IPアドレスが書いてあったら、Web サイトだというのか、ちょっとずれている ・ω・
「ネットサービス」もしくは「パブリック DNS」が正しいと思う。
交流サイト(SNS)の米フェイスブックによる個人情報の流出問題が騒がれる中、この1.1.1.1がプライバシー情報の保護に寄与するとして、ネットで話題に上っている。 |
FaceBook の個人情報流出は、全く別次元の問題で パブリック DNS を利用することが、個人情報保護に役立つってのは訳が分からない。
使わなかったら個人情報が守られるわけではなく、DNS を悪用したポイズニング攻撃を防いだり、リスクを減らしたりするのが目的のはずですね。
「IPアドレス」と呼ばれる、4つの数字の並びである。人間がわかる名前から、機器にわかるアドレスに変換するための機能がDNSなのだ。 |
IPアドレスが4つの数字の並びだけだった時代はとっくに終わったと思っていたのですが ・ω・
これを広く一般に使えるようにしたから「公開DNS」なのである。名称としても使われる「1.1.1.1」は、クラウドフレアが公開した公開DNSサービ スのIPアドレスなのである。覚えやすくしたのは、公開DNSサービスを使うために設定する際、このIPアドレスを直接設定しなければならないためだ。 |
APNIC29ミーティング報告 ルーティングセッション - JPNIC
覚えやすくしたのは、事実だけど、IANA から APNIC に 2010年にこの IPアドレスが割り当てられたため、1.1.1.1 になったと考えられる ・ω・
そういや、1.1.1.1 ってネットワーク機器にたまに採用されてたりするので、不具合が起こる可能性もあるんですよね。大丈夫なのかな・ω・
過去に、不正経路通告(BGP 経路ハイジャック) で利用されたこともあるので、この8年間検証されたのだと思うけど、ちょっと不安ではあります ・~・
(逆に、みんなが利用してる事が分かっていることによって、 1.1.1.1 を悪用して何かできそうですね)
この攻撃が成立すると、端末のアクセスを偽のサーバーに誘導できてしまう。まず考えられるのが情報の詐取だ。本来アクセスすべき正規のサーバーのふりをし てログイン情報を抜き出せる。次に考えられるのがウイルスなど悪意のあるソフトウエアを端末に押し込むこと。例えばソフトウエアのアップデートサーバーの ふりをして、ウイルスを仕込んだプログラムを送り込むなどが簡単にできてしまう。 |
それを防ぐのが、SSL などの証明書を使ったアクセスなので、SSL対応サイトならアドレスの偽装が簡単にできないため、SSL化が進んでるわけですが ・ω・
基本 SSL は暗号化されているため。情報を盗み見たりもできないよね。
もう一つの課題が端末とキャッシュDNSサーバーの間だ。実はインターネットでは、サーバーと端末は直接つながっていない。複数の中継機(ルーターと呼ぶ)を介してつながっている。
|
これ、恐らく BGP 経路ハイジャックについて言ってるのだと思うけど、よく分かってないような感じ。
[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底 | 日経 xTECH(クロステック)
ルータに存在する脆弱性、DNSポイズニングに誘導 | トレンドマイクロ セキュリティブログ
パブリック DNS を使ったとしても、これらの攻撃が成立してしまったら、あまり効果はないのだが、そのあたりがあいまいな記事になってしまっている・ω・ (結局何が言いたいのやら)
一見いいことずくめのように見える1.1.1.1のサービスだが、悪用の懸念もある。実はクラウドフレアはネット上で漫画や雑誌を無料で読めるようように している海賊版サイトの配信サービスにもよく使われている。このため1.1.1.1は、ISPが海賊版サイトをブロックするのを回避する目的があるとの指 摘もある。ISPが海賊版サイトへの接続を遮断する場合、DNSで要求されたサイトを識別するのが一般的だからだ。ISPのDNSを使わずに 1.1.1.1を使えば、ISPによるブロックは効果を失う。 |
DNSでブロックするのに意味があるのか?
IP直打ちや、DNSサーバー変えれば回避できるじゃん。と思ってたら 8年前から問題になってた
DNSブロッキングは筋が悪いのか?:Geekなぺーじ
DPI装置のURLフィルタリング機能を活用した児童ポルノブロッキング|【技業LOG】技術者が紹介するNTTPCのテクノロジー
なるほど、電気通信事業法の「通信の秘密」に抵触する恐れがあるからこういう方式しか取れないのね・ω・
という訳で、タイトル「SNSだけじゃない ネット基盤「DNS」にも漏洩リスク」の意味がよくわからない記事だったなという感想でした。
Googleも似たようなことしてなかったかな?
記事見れないんで黒猫さんの引用からの推察ですが
>もう一つの課題が端末とキャッシュDNSサーバーの間だ
CloudflareのキャッシュサーバーはDNS over TLSとDNS over HTTPSをサポートしてるんでそれのことかと。つまりPC/ルーターとキャッシュサーバー間での毒入れや盗聴
現状、専用のスタブリゾルバ要るんで大多数の人には縁がないですけど
ちなみに、以下で中の人が色々述べてます
https://news.ycombinator.com/item?id=16763402
日本人のITリテラシーは低い。とても先進国とは思えない。
1.1.1.1がローカルのプロキシとか何かしらに引っかかるパターンはいくつか報告されてますね(・ω・)