2020/04/08

Microsoft、危険なドメイン corp.com を購入

2020 年 4 月 8 日 Trevor Collins 著

Brian Krebs 氏の記事で、ドメイン「corp.com」が Microsoft によって購入されたことが明らかになりました。これは、IT プロフェッショナルがデフォルトの構成ガイドラインに忠実に従い過ぎた場合に発生していた、重大なセキュリティ上の懸念を解決するものです。過去の Microsoft のほとんどのドキュメントでは、サンプルドメインとして corporation の略である「corp」が使われていたものの、それを独自の名前に変更することを明確に推奨していませんでした。そのため多くの管理者が民間企業のドメインを「corp」としていました。corp.com というドメインは正規に登録されているため、ユーザがノート PC をプライベートネットワーク以外で使用したり、ローカル DNS サーバが突然アクセス不能になったりした場合に、脆弱性となる恐れがありました。具体的には、以前の corp.com ドメインの所持者が悪用しようと思えば、サーバをセットアップし、誤接続を傍聴することで、認証情報からファイルのアップロードにいたるまで、さまざまな情報を盗みだすことができました。

今日では Microsoft は単一ラベルのドメインを使用することを許可しておらず、ドメイン名を「example.com」のように独自のドメイン名に加えてトップレベルドメインをつけて使用する必要があります。Microsoft はすでにドキュメントを変更していますが、古いドメインは単一ラベルのドメインを使っている可能性もあります。「corp」がおそらくもっとも使用されているドメインである一方、そのほかの多くのドメインは、信用できる Web サイトには繋がりません。たとえば Test[.]com というドメインは、安全性が保証されない Web サイトにつながります。管理者は新しい Active Directory や LDAP 環境を構成する際には、ドメイン名を慎重に選択するべきです。ドメイン名の名前衝突は、ユーザが間違ったリソースにアクセスしたり、個人情報をサイバー犯罪者集団に渡したりしてしまう事態を引き起こす恐れがあります。

ドメインを作成するときは、他の公開されているドメインと衝突しないようにしましょう。テストに使用するドメインや公開することのないドメインであれば「.local」や「.test」といったドメインも安全ではありますが、「local.local」のように一般的な単語と組み合わせると、同じ設定を使用している別のドメインとマージした場合に衝突する可能性があります。セキュリティとユーザビリティのベストプラクティスとしては、ローカルで使用する場合でも独自のドメインを登録することが推奨されます。ドメイン名の選び方の詳細については、 Microsoft のドキュメント をご覧ください。

ドキュメントが適切ではないために、構成ミスが発生することは珍しいことではありません。インターネット割当番号公社(IANA)はドメイン名の使用を管理している団体で、特に「example.com」「example.org」「.example」をドキュメント用に使用できるようにしています。ドメイン名が登場する説明書を記述するテクニカルライターは、決して他のドメインをサンプルとして使用すべきではないのですが、誰もがこのルールに従っているわけではなく、また「example」というドメイン名だけでは分かりにくい場合もあるでしょう。システム管理者は、当然、このようなサンプルのドメイン名を製品のセットアップに使用するべきではありませんが、すでに取得されているドメインをサンプルとして使用すれば、少なくとも見ず知らずの第 3 者のドメインに解決されるということはありません。どちらにしても、新しいドメインを構成する際には独自の名前を使用し、他のドキュメントで使用されていないドメインを使用するべきです。