さる6月5日、神戸大学で開かれた電子通信情報学会(IEICE)の情報通信システムセキュリティ研究会での招待講演の資料を公開します。
内容の危険性を考慮し、招待講演は予稿無しとさせて頂き資料も公開しないつもりでした。
しかし、2月に我々が問題に気づいてからはや4ヶ月、JPRS が CO.JP などゾーンが JP から分離していない SLD に署名された TXT レコードを入れてから 3ヶ月、JPRS が背景不明な注意喚起を出してから 2ヶ月がたちました。そして先週あたりから JPRS はその理由を説明しないまま JP と DNS.JP の NS の分離を行いつつあります。
それ以前に今回の我々の指摘は2008年のMuellerの論文から演繹できる結論なのです。我々はその既知の攻撃手法の解説を3月から徐々にですが行ってきています。しかし我々が十分だと考えていたレベルの解説では十分理解できない人が多いようで、攻撃手法の詳細に踏み込んだ解説の公開が必要であると判断しました。
IEICEの研究会でも話が出ましたが、現状は攻撃者だけが問題に気づき、守りを固める必要がある側には知識が乏しい危険な状況といえるでしょう。発見者が隠蔽に協力してくれている事例と同一視して隠蔽を続けるのはまずいと思います。何人ものセキュリティ技術者もこの状況はまずいという見解を示しています。
JPRS や彼らに従うセキュリティ関係諸団体は JP の対策が一通りすんでから解説を行うのかもしれませんが、他の TLD の対策は待たないのでしょうか。社会で広く使われている数多のドメインの対策はどうでしょう。いつまで待ってもリスクを抱えたドメインは存在します。隠し続けることに意味はありません。彼らも躊躇せずできるだけ早く危険性の周知、解説を行って人々に注意喚起を促すべきでしょう。隠蔽で守れるセキュリティは幻想です。
Copyright by T.Suzuki