水無月ばけらのえび日記

クラウド時代はDNS Pinningが落とし穴になる

公開: 2011年9月3日19時50分頃

モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。

• OperaってDNSのTTL考慮してない？！
• 多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?
• AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...
• あー、なるほど。それはまずいですね。

これは盲点でした……。

OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS Pinning」と呼ばれています。その必要性については、金床さんの以下の解説が分かりやすくまとまっていると思います。

• Wizard Bible vol.33 (2007,5,8) (wizardbible.org)

要するに、DNS Rebindingの攻撃を防ぐために必要だということです。DNS Rebindingでは、攻撃者が自分のドメインを自分のサーバに向けた後、DNSのレコードを変更して自分のドメインを攻撃対象のサーバに向けます。すると同一ドメインと見なされ、攻撃者のドメインに置かれていたスクリプトから内容を読み取るようなことが可能になります。DNS Pinningが行われていると、攻撃者がDNSを変更してもその変更がスルーされてしまうため、攻撃が成立しなくなります。

というわけなのですが、攻撃者ではない人が、実際に自分のサーバのIPアドレスが変更になるのでDNSのレコードを変更する、ということはあり得ます。その場合にDNS Pinningが働くと、変更先のサーバに正しくアクセスできないということになります。さらに、変更元のIPアドレスが別のサーバに割り当てられてしまうと、その別のサーバにアクセスしてしまい、しかもCookieなども送出してしまうことになります。これは非常にまずいわけで、DNS Pinningが裏目に出る例だと言えるでしょう。

昔は、サーバのIPアドレスが頻繁に変わるということはあまり考えられませんでした。個人のサーバがDynamic DNSで運用されているということはありましたが、商用サービスのIPアドレスが全く別のサーバに割り当てられるなどということは、ほとんどなかったと言って良いでしょう。

ところが最近では、商用サービスがクラウド上で運用されるケースが増えてきました。クラウドの大きな特長のひとつは、サーバを簡単に追加したり減らしたりできるということです。これが、IPアドレスが別の人に使われるというリスクに繋がってくるわけですね。

DNS Pinningをやめるというわけにもいきませんし、どちらかというと、IPアドレスが別の人に使われる可能性があるということ自体が問題であるように思います。そのような環境で、認証を伴うような重要なサービスを運用するのはリスクがあると言わざるを得ないでしょう。

これは、「クラウドを使うな」というわけではありません。クラウドサービスの全てでIPアドレスがころころ変わるわけでもありませんし、IPアドレスが変わるにしても、放棄されたIPアドレスをしばらくの間 (たとえば24時間) 他人に使わせないようにする、という対応も理論上は可能なはずです。

クラウド上で重要なサービスを運用する場合には、IPアドレスがどのように扱われるのか、事前に確認しておいた方が良いと思います。

※IPv6になると、こういう悩みもなくなってくるのでしょうかね……?

• 「クラウド時代はDNS Pinningが落とし穴になる」にコメントを書く

関連する話題: セキュリティ / クラウド / DNS

なぜ人はTwitterに顧客の悪口を書いてしまうのか

公開: 2011年9月3日13時40分頃

こんな記事が……セキュリティ＆プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。

セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。

それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。

「未成年者が飲酒・喫煙を暴露するケース」に関しては、未成年者ですから仕方ない面もあるでしょう。思春期の青少年が、「ワル = カッコイイ」と思って自分の悪事を自慢してしまう、というのは良くある話です。仮に発覚しても所詮は自分の事ですから、本人が処分されれば終わる話で、問題が大きく広がることはそれほどないでしょう。

※もっとも、成人してから過去の「武勇伝」を自慢するケースもあるので、「ワル = カッコイイ」は思春期に限らないのかもしれませんが……。

私が問題だと思っているのは、従業員が顧客のことを暴露してしまうケースです。ホテルや飲食店の従業員がTwitterで顧客の情報を漏らし、時には悪口を書いて激怒させる、という事件は何度も起きています。顧客に見られれば大問題になることは分かりきっているはずで、その結果として自分だけでなく企業全体がダメージを受けるということも分かっているはずなのに、それでも書いてしまう人がいるわけです。これが何故なのか、というのは非常に興味深い課題だと思います。

キャンプでは以下のような意見が出ていたようで。

そうだとしたら、「Twitterやmixiは不特定多数の人に見られる」という事実が知られていないことが問題で、そのことを周知すれば問題は解決する、という事になりそうです。

もちろん、そういう要素もあるでしょう (未成年者の場合は特に)。ただ、私はそれだけではなく、もっと他の要因もあるのではないかと思っています。

人には元来、自分が不快に思ったことを誰かと共有して、共感してもらいたいという気持ちがあると思います。それも、できるだけ多くの人に伝えて、できるだけ多くの人に共感してもらいたいと思っているものでしょう。

普通は、不快なことがあれば友人と共有したり、仕事上のことであれば職場の同僚と共有したりして、それで満たされることが多いと思います。しかし、何らかの理由でそれができなかったり、あるいは不十分だったりする場合はどうでしょうか。不特定多数に見られる可能性を認識しながら、それでもあえて公の場に書いてしまう、ということが起こり得るのではないでしょうか。

この手の事件では、もちろん本人に問題があるわけですが、それだけではなく、職場でのコミュニケーションが成立していなかったりであるとか、周囲の環境にも問題がある場合が多いのかもしれません。

公開の場所ではなく、企業内の閉じた場所に不快感を共有できる場が設けられていれば、こういう時の逃げ場として機能する可能性はあるでしょう。最近では企業内SNSの導入も盛んになりつつありますが、それはこういった考えに基づいている面もあるのかもしれないですね。

さて、キャンプの側の議論ですが、

ちょっと話が変わってしまっていますね。「公開すべきでないものを公開の場所に書いてしまう」という話と、「非公開の場に書いたものが不具合によって漏洩してしまう」という話とでは、問題となるポイントがかなり違うと思います。

とはいえ、後者のようなことも実際に起きているので、それはそれで意識する必要があるでしょう。最近では、東海テレビの「ぴーかんテレビ」で不適切テロップ (セシウムさん) が出てしまった問題がありましたが、社長が謝罪、番組は打ち切り、といった具合で大きな問題に発展しました。あれも、本来であれば表には出ないはずのものが、手違いによって出てしまったわけです。「どうせ見られないものだから何を書いても問題ないだろう」という、ある種の油断が招いてしまった事件だと言えます。

そういう意味では、「社内SNSでは顧客にどんなひどい悪口を言っても許される」という考えもNGです。不快感を表明したり批判したりすること自体は許されると思いますが、本人がその批判を目の当たりにしても問題が起きないような表現にするべきでしょう。

こういった表現方法の話は、従業員個人のモラルや態度の問題として考えられてきた面が大きいと思いますが、これからは企業のセキュリティ施策の一環としても考えていかなければならないのかな、と思ったりもしています。

※弊社でも最近SWiMS (www.b-architects.com)などの絡みもあってソーシャルウェブ戦略を提案する機会が増えているのですが、「従業員のソーシャルウェブ利用ポリシーも一緒に考えて欲しい」と言われることが結構あります。やはり多くの企業が問題を感じているのでしょう。

• 「なぜ人はTwitterに顧客の悪口を書いてしまうのか」にコメントを書く

関連する話題: セキュリティ / Twitter / BA / 経営