中東を狙った DNSpionage キャンペーン
エグゼクティブ サマリー このほど Cisco Talos は、レバノンとアラブ首長国連邦(UAE)を標的とした新たなキャンペーンを発見しました。その影響は、.gov ドメインのほかレバノンの民間航空会にも及んでいます。Talos の調査からこの攻撃者は、検出を回避してできるだけ目立たずに攻撃するために、時間をかけて被害者のネットワークインフラストラクチャを把握したことが明らかになっています。 この攻撃者のインフラストラクチャと TTP からは、最近確認されたその他のキャンペーンまたは攻撃者とのつながりを確認することはできませんでした。今回のキャンペーンでは、悪意のある偽の求人 Web サイトが 2 つ利用されています。そのサイトは、マクロが組み込まれた悪意ある Microsoft Office ドキュメントを通じてターゲットを侵害するために使用されています。Talos ではこの攻撃者が利
ドメイン管理の仕組み「DNS」が運用変更 総務省が注意喚起 - ITmedia NEWS
ドメイン管理の仕組み「DNS」で、暗号鍵の一部が更改されることを受け、総務省がインターネットサービスプロバイダーなどに対応を求めた。 総務省は10月2日、ホスト名・ドメイン名をIPアドレスに変換する仕組み「DNS」(Domain Name System)で、暗号鍵の一部が12日に更改されることを受け、インターネットサービスプロバイダー(ISP)などに対応を求めた。 DNSは「www.soumu.go.jp」などのホスト名(ドメイン名)を、IPアドレスに変換する「検索」の仕組み。この検索結果の改ざんを防ぐために、電子署名を付加した「DNSSEC」(DNS Security Extensions)が使われている場合がある。この電子署名の正当性を検証するのに使う暗号鍵の中で、最上位の鍵(ルートゾーンKSK)が初めて更改される。 ルートゾーンKSKの更改は、ドメインの管理団体・ICANN(Inte
JPドメイン名のドメイン移転、指定業者変更申請の自動承認処理の変更について | お知らせ(20180927-1) | VALUE-DOMAIN(バリュードメイン)
ドメイン取得ならバリュードメイン お知らせ JPドメイン名のドメイン移転、指定業者変更申請の自動承認処理の変更について INFORMATIONお知らせ お客様 各位 平素はバリュードメインをご利用いただき、誠にありがとうございます。 昨今、JPドメイン名におきまして、第三者によると思われる、意図しないドメイン移転、指定業者変更申請が確認できております。 お客様におかれましては、再度ドメインロックが有効であるかご確認いただきますようお願い申し上げます。 これに対応するため、下記の通り、JPドメイン名のドメイン移転、指定業者変更申請の自動承認処理の仕様を変更いたしました。 ■ 対象 ドメイン移転申請、または、指定業者変更申請をした汎用JP、属性型JPドメイン名 ■ 変更内容 (従来) ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、 ドメイン移転、指定業者
DNS over HTTPSサーバを見つけるためのTXTレコードの提案仕様 - ASnoKaze blog
20190821 追記 この提案は廃案されました https://mailarchive.ietf.org/arch/msg/doh/qkmhh93Id6XIngH3LJwp-HokH_Y DNS over HTTPS(DoH)の標準化が進められており、引き続き注目を集めている。 asnokaze.hatenablog.com 一方で、DoHサーバをどのように見つけるか、見に行かせるかの議論が始まっています。 JPNIC Blog :: DNS over HTTPSとDHCP -IETF102における議論- で紹介されている通り、先月行われたIETF102でもDNSリゾルバの識別子と利用についてのBoFがありました。 例えば、設定ファイルだったり、DHCPでDNSサーバを設定する際にDoHサーバを設定する際にどうすればいいか、どのようディスカバリさせるかといった議論です。 その流れで、Do
再定義できない世界になりつつあるネットの新秩序 - 雑種路線でいこう
個人でEV SSL証明書が欲しい話 - Speaker Deckを読んで驚いたんだけど、いつの間にかFirefoxにはEVSSL証明書のルート認証局がハードコーディングされて、それを書き換えるにはブラウザをビルドし直す必要があるらしい。(というかリビルドしても追加した証明書でアドレスバーが緑色にならなかったみたい。何が足りないのかな?)ルート証明書そのものは後から足せるのだが敢えてハードコードした理由は想像できる。ルート証明書なんて後から侵入者なりマルウェアが簡単に足すことができるし、現にそういった攻撃はこれまで行われてきたからだ。 ついでにFirefoxが近々DHCPで降ってくるDNSを信用するのを止めて、DNS over HTTPSでCloudflareに問い合わせるという。これもまたDNS履歴を監視する国だとか、日本も含めてWeb検閲のためにDNSをいじってる国があって、そういった影
次のFirefoxではDNS問い合わせ先としてCloudflareが利用できる見込み
by Jake Blucker 2018年9月にリリースされる予定となっている「Firefox 62」では、DNS over HTTPS(DoH)とTrusted Recursive Resolver(TRR)が導入され、DNS問い合わせをコンテンツデリバリーネットワークサービスを提供しているCloudflareに対して行えるようになるそうです。実装されればDNSブロッキングの回避が可能になりますが、一方で、危険性を秘めていることも指摘されています。 ungleich Blog - Mozilla's new DNS resolution is dangerous https://blog.ungleich.ch/en-us/cms/blog/2018/08/04/mozillas-new-dns-resolution-is-dangerous/ Improving DNS Privacy
海賊版サイトについて知財本部で議論されなかったことは何か - 雑種路線でいこう
「インターネット上の海賊版対策」について7月25日に第4回の検討会が行われた。残念ながら事務局からはブロッキングを行う場合に検討すべき事項しか提示されず、結局それ以外の対策を考える気はないのかと失望させられた。これから事務方は夏休み返上で提案骨子をまとめ、8月の2回で揉んで9月中旬には中間とりまとめを出そうという腹づもりなのだろう。来年の通常国会に法案提出するには綱渡りのスケジュールだ。 簡単に迂回できるDNSブロッキングの実施だけが決まって、何ら実効性ある海賊版サイト対策が打たれないようなことがあれば目も当てられない。嘆いているだけでも芸はないので、本来は何を議論すべきだったのか、これからでも遅くないので考えてみたい。 まずブロッキングについてさえ基礎的な検討ができていない。これまで日本は何年も児童ポルノのブロッキングを行ってきたのだから、その成果についてサーベイすべきだ。どれくらいのサ
注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります – JPNIC Blog
tech_team 2018年7月10日 JPNICからのお知らせ インターネットの技術 ■ はじめに DNSにはEDNSと呼ばれる拡張機能があります。このEDNSの実装が正しくないDNSサーバやネットワーク機器が、インターネット上に存在しています。これまで、いくつかのオープンソースのDNSサーバソフトウェアでは、EDNSの動作に不具合があるようなサーバ等に対しても名前解決ができるように、回避策が実装されていました。しかし「実装が複雑になりDNSの安定運用にも支障をきたすため、2019年2月1日以降のリリースから回避策の機能を削除することにした」というアナウンスがありました。 機能削除の予定日である2019年2月1日は “DNS flag day” と名付けられました。この記事では、その DNS flag day についてご紹介します。 ■ EDNS (Extension Mechanis
AmazonのDNSトラフィック乗っ取り 仕組みについて解説 - orangeitems’s diary
Route53のトラフィック乗っ取り AmazonのRoute53がトラフィック乗っ取りの被害に遭った、と聞くとぎょっとした人が多いのではないでしょうか。AWSの利用者は多いですからね。攻撃の仕組みについて解説します。 www.itmedia.co.jp AWSのクラウドベースのDNSサービスである「Route 53」のDNSトラフィックが何者かに乗っ取られ、「MyEtherWallet.com」のユーザーが仮想通貨を盗まれる事件が発生した。 解説 まず、この問題に関して利用された攻撃手法は「BGPハイジャック」という名前であることをおぼえてください。BGPとはネットワークの中で、ルーティング情報(経路情報)を交換するためのプロトコルです。BGPにて世界中のルーターが会話をすることによって、世界中どんなところにでも、インターネットがつながっていればパケットを届けることができるのです。例えば
AmazonのDNSサービス「Route 53」が攻撃され時価1600万円の仮想通貨がユーザーから奪われる
AWSのオンラインDNSサービス「Route 53」がサイバー攻撃を受けました。Route 53を利用していた仮想通貨サービスがトラフィックを不正にリダイレクトされた結果、サービス利用者が約15万ドル(約1600万円)分の仮想通貨を盗み出されるという被害が発生しています。 Hijack of Amazon’s internet domain service used to reroute web traffic for two hours unnoticed https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f Suspicious event hijacks Amazon traf
DNS Queries over HTTPSでのTTLとCache-Control - Qiita
DNS Queries over HTTPSにおいて、HTTPのキャッシュとDNSのキャッシュの話が面白かったのでメモ DoH IETFで「DNS Queries over HTTPS (DoH)」と呼ばれる、HTTP上でDNS通信を行うプロトコルが議論されている。DoHと呼ばれており、実装もすでに広く行われている。 外とのDNS通信を遮断するようなネットワークでもHTTPSとして出ていくため経路上からは判別することができない。特にHTTP2などで通常のWebサーバとのコネクション上でDNSクエリが送られれば見分けはつかない。 また、CDNからの配信も既存のWebの仕組みに乗っかることができるほか、HTTP/2 ServerPushも行えるなど応用の幅は広い。 例 GETとPOSTに対応しているが、GETでwww.example.comの名前解決を行う例を示す。 このように、HTTPリクエ
すごいIPv6本を無料配布!:Geekなぺーじ
2021年12月20日追記:第2版できました! IPv6を解説した「プロフェッショナルIPv6」をラムダノート株式会社から出版しました。 初版は456ページになりました。紙版の厚さは23mmになる予定です。 現時点で、IPv6に関して世界で最もまとまっているIPv6本であると個人的に考えています。 「プロフェッショナルIPv6」は、株式会社日本レジストリサービス様、BBIX株式会社様、NTTコミュニケーションズ株式会社様、日本ネットワークイネイブラー株式会社様、クラウドファンディング(「すごい技術書を一緒に作ろう。」という企画です)でのみなさまによるサポートにより実現しました。 IPv6に関する技術情報を広く公開するという趣旨に賛同いただき、本書の執筆と制作、公開にあたって多大な協賛をいただきました。ありがとうございます!!! 「プロフェッショナルIPv6」は、通常の書籍として5000円で
TLS の SNI 暗号化に関する Internet Draft を共同提出しました
Eric Rescorla (RTFM), Nick Sullivan (Cloudflare), Christopher Wood (Apple) の各氏とともに、SNI を暗号化する TLS 拡張を提案する Internet Draft を提出しました。 Encrypted Server Name Indication for TLS 1.3 アナウンスのメールにあるとおり、すでに NSS / Firefox と picotls / H2O で実装作業が開始されており、今月開催される IETF 102 で相互運用試験を行うとともに、標準化にむけた議論を深める予定です。 スノーデン事件以降、広範囲におよぶトラフィックモニタリングによるプライバシー侵害の懸念が明らかになるとともに、できるだけ多くのインターネット上の通信プロトコルを暗号化することが求められるようになってきました (参考: R
ブラウザのネットワークエラーをレポートさせるNetwork Error Loggingが来た - ASnoKaze blog
20180727追記 CORS対応が必要になりました asnokaze.hatenablog.com 20180703追記 ドキュメントはhttps://w3c.github.io/network-error-logging/ にが移されました 20180608追記 仕様上は、jsonの各値はハイフンではなく、アンダースコアを使用するようになります report-to => report_to max-age => max_age ... etc https://github.com/WICG/network-error-logging/commit/86c4d1c0fa4c5d5ca1d8bdcd9fa931e7e4ab65c2 こんな感じ nel: {"report_to": "network-errors", "max_age": 2592000, "include_subdomai
DNS over HTTPSを使ってDNSレコードを外形監視 - LIVESENSE ENGINEER BLOG
こんにちは、インフラグループの水野です。 みなさん、DNSのレコードの監視を行っていますか? DNSレコードの変更ミス等を検知することはもちろん、自分たちの運営しているサービスの名前解決がユーザ側でどのように見えているのかというのを確認することは大切です。 しかしながら、DNSレコードを外形監視してくれる監視ツールは数が少なく中々コレといったものがありません。 外部からの監視をしたいがためにパブリッククラウドに監視専用のインスタンスを建てるのももったいないです。 弊社ではメインの監視ツールとして Mackerel を利用していますが、MackerelにはURL外形監視はありますが、DNS外形監視はありません。 別途 pingdom のDNS外形監視を利用していましたが、pingdomではIPアドレスとのマッチしかできません。 IPアドレスもひとつしか登録できないため、ELBのようにIPアド
IPv6本 脱稿しました:Geekなぺーじ
2011年から書き続けていたIPv6本がついに脱稿しました。 この本は、クラウドファンディングで書きました。 完成したIPv6本の電子版は無償配布します。 サポーターの皆様、ありがとうございます! 全章のフィードバック受付版は、5月21日(月)にマクアケ経由のメッセージにてサポーターの皆様にお送りする予定です。 その後、7月中に完成した書籍をサポーターの皆様にお届けするとともに、一般公開および一般販売開始する予定です。 IPv6本電子版の無償配布を行いますが、紙版と電子版の販売も行います。 ご購入いただけると、私とラムダノート社が喜びます。 なお、有料版と無償配布版の間にコンテンツとしての違いはありません。 ご購入いただかなくても内容を読むことはできます。 幅広く多くの方々にIPv6に関する技術情報が伝われば幸いです。 長くツライ執筆でした IANAのIPv4アドレス中央在庫が枯渇したので
NTTによるブロッキング論点の整理 - Software Transactional Memo
NTTがブロッキングを発表してから様々な反響があったのでざっと眺めて反応を主観でカテゴライズしてみる。 TL;DR; NTTも政府もしっかりしろ。あと違法行為はやっぱりダメだ。 今回の措置に賛成だよ派 困ってる人がいるからしょうがないよ派 プロバイダ責任制限法を越えるから仕方ないよ派 やまもといちろうが気に食わないよ派 他の国ではやってるよ派 反対派は漫画村ユーザだよ派 ブロッキングは合法だよ派(宛先は通信の秘密に当たらないよ派) 政府がそう言ったらしいよ派 緊急避難が適用されるから合法だよ派(児童ポルノと同じだよ派) なるべく速やかに立法すべきだよ派(結果整合派) 違法だからどうした派(アナーキー派) 今回の措置に反対だよ派 本当に緊急回避が成り立つなら賛成だよ派(漫画村もうないじゃん派) 立法の後なら賛成だよ派 さっさと立法しろ派(法治重視派) 憲法21条も一緒に修正しろ派(整合性重視
一問一答完全収録 NTTグループのブロッキング、なぜ実施?
NTTグループの通信事業者3社(NTTコミュニケーションズ・NTTドコモ・NTTぷらら)が、マンガや動画の「海賊版(無断転載)」サイトに対するブロッキングを実施する方針を発表した。 →NTTグループ3社、「漫画村」など海賊版サイトをブロッキングへ この方針は、政府が打ち出した「インターネット上の海賊版サイトに対する緊急対策(案)」(PDF形式)に基づく措置。しかし、この手法はブロッキングを“する”側が法的リスクを負うなど、問題点もある。 そもそも「ブロッキング」とは何なのか。そして、それの何が問題なのか。そして、NTTグループはなぜ自らにリスクが降りかかるような方針を取るのだろうか。 「ブロッキング」とは? ブロッキング(Blocking)は、その名の通り何らかの手段で、ユーザーがリクエストしたサイト(接続先)に接続させない措置のことで、主に以下の方法がある。 パケットフィルタリング プロ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Basics_of_DNS_that_application_engineers_should_know - Speaker Deck
【速報: 角川の代表取締役、個人がDNSを立てられないようにしようと公言】OP53Bは内容規制で情報アクセスそのものを遮断する。フィルタリングのポートが違うだけ、ではない。
