善意の利用者が前提のセルフサービス
いまどきのサービス利用シーンでは、セルフサービスがよくあります。
クラウドのサービス申し込みのシーンなどの話です。
以前ですと、利用者となりたい人は、まず申込書を紙に印刷します。
そしてそれに必要事項を記入してハンコを押し、郵便で申込書をサービスを提供している会社に送付します。
受け取ったサービス提供会社は記載内容を確認し、OKの場合申請内容に従ってサービスを開始します。
これは普通のことでした。
多くのサービスで、この流れのほとんどがセルフサービスで進められるように変わりました。
それ自体は歓迎すべきことだと思います。
サービスを提供する会社も楽になりますし、なによりもすぐに使い始めることができて便利です。
どんどんセルフサービスで申し込めるようになるといいと思います。
でも、そんなセルフサービスにも弱点があったようです。
DNSサービスに関する脆弱性が確認されています。
この話は、脆弱性の話ではありますが、技術的なものではありません。
おおよその流れは以下の通りです。
- DNS-as-a-serviceのどこかのサイトにログインする
- どこか有名なDNSサーバと同じ名前になるように入力内容を入力し、サービスを開始する
たったこれだけです。
こう操作すると、本来はその有名なDNSサーバに向かうはずだったDNSのリクエストが、今あなたが作った新しい別のDNSサービスにも来てしまうというのです。
これ大問題ですよね。
どうしてこうなったんでしょう。
問題は明らかです。
セルフサービスの申し込みの内容の妥当性確認が十分でなかったんだと思います。
従来なら申し込み処理を受け付ける担当者が目で確認して、内容の妥当性を確認してOKだった場合にサービス設定を実施していました。
でもそれがセルフサービスとなった際に、必要十分な妥当性確認が実施されないまま設定されるようになってしまっていた、ということです。
この問題はいくつかのサービスで確認されています。
発見した人は速やかにそれらのサービス会社に連絡しました。
ある会社は速やかに対処しました。もう安全になりました。
しかし、現在もいくつかの会社はまだ対応していないようです。
対応中なのか、対応する方法を検討しているのかわかりませんが、対応がまだ完了していないようです。
とても心配です。
今回はDNSに関連するセルフサービスの話でしたが、これはこの話に限ったことではないと思います。
なにか問題があることを発見したら、速やかにしかるべき連絡先に連絡したいものです。
また、自分が連絡を受けた場合には、速やかに対処開始を検討しようと思います。
でもその時に、その連絡者や連絡内容が妥当なものであるかの確認を十分に実施することも忘れないようにしようと思います。
便利なことと面倒なことが同時にやってきたような、変な感じがします。
参考記事(外部リンク):New DNS Name Server Hijack Attack Exposes Businesses,
Government Agencies
www.darkreading.com/vulnerabilities—threats/new-dns-name-server-hijack-attack-exposes-businesses-government-agencies/d/d-id/1341377
