今日(2012/11/19)のお昼近くに、サクラインターネットのabuse対策チームから、私の質問を受理した旨のメールがきました。abuseとは「コンピュータネットワーク上の迷惑行為」の意味らしいです。
abuse問合せフォームに、「土日祝日等、さくらインターネットの休業日にお問い合わせ頂いた場合は、翌営業日以降のご回答となります。」とあるので、休日の前日の16時台の問い合わせでしたから、妥当なレスポンスだと感じます。
14:00頃に、ns1.dns.ne.jp(210.188.224.9)およびns2.dns.ne.jp(210.224.172.13)でtwitter.comを引くと、結果が次のように変わりました。
C:\Documents and Settings\xxxx>nslookup twitter.com ns1.dns.ne.jp
Server: ns1.dns.ne.jp
Address: 210.188.224.9
Name: twitter.com
C:\Documents and Settings\xxxx>nslookup twitter.com ns2.dns.ne.jp
Server: ns1.dns.ne.jp
Address: 210.188.172.13
Name: twitter.com
つまり、IPアドレスが帰って来なくなりました。上記のDNSサーバを優先および代替DNSサーバに指定してWebでhttps://twitter.com/ を参照すると、「このウェブページにアクセスできません」と表示されます。mail.google.comでも同じです。
とりあえず、DNSサーバからtwitter.comとmail.google.comのデータを削除されたようです。これで、利用者が別アドレスに飛ばされる危険はなくなった筈です。(尤もどれくらいの人が、これらのDNSを利用していたかは不明ですが……)
あと気にか掛かるのは、どうしてこれが起こったかと、この種の事は防ぐことが可能なのかです。
2012年11月19日
2012年11月17日
さくらインターネットのDNSでtwitter.comを引くと……
具体的に書いていいものか迷ったのですが、再三のウィルススキャンや類似の事例調べなどで、二日間ほど時間を取られたので、他の方が同じことで悩むことがないようDNSキャッシュポイズニング?について詳しく書いておこうと思います。
私の勘違いの可能性もまだ残っていますが、別のパソコンでも同じ現象が再現できているので、DNSサーバ側の問題ではないかと考えています。
nslookupコマンドで、DNSサーバを指定してtwitter.comのIPアドレスを調べた結果が以下(2012/11/17 7:30現在)です。
C:\Documents and Settings\xxxx>nslookup twitter.com ns1.dns.ne.jp
Server: ns1.dns.ne.jp
Address: 210.188.224.9
Name: twitter.com
Address: 112.78.125.151
C:\Documents and Settings\xxxx>nslookup twitter.com 202.232.2.38
Server: ns4.iij.ad.jp
Address: 202.232.2.38
Non-authoritative answer:
Name: twitter.com
Addresses: 199.59.150.7, 199.59.149.230, 199.59.148.82
ns1.dns.ne.jpはさくらインターネット、ns4.iij.ad.jpはIIJのDNSサーバです。twitter.comはツィッターのドメインで、Whoisで調べるとIPアドレスは199.59.150.7です。
つまり、IIJのDNSサーバが返す値が正しく、さくらインターネットのDNSサーバ(ns2.dns.ne.jpでも同じ結果)は間違っていることになります。Googleや他のフリーで公開されているDNSサーバでもざっと調べましたが、調べてみたすべてでtwitter.comの所有するIPアドレスに解決しました。
このDNSを使っているのは、私自身がさくらインターネットのレンタルサーバのユーザーだからで、サブドメインを登録した直後から、ブラウザで見え方を確認できるのが便利だからでした。
現象としては、パソコンのTCP/IPのプロパティのDNSで優先DNSサーバおよび代替DNSサーバにns1.dns.ne.jp(210.188.224.9)およびns2.dns.ne.jp(210.224.172.13)をセットしてhttps://twitter.com/を見ると、例えばchromeだと「このサイトは目的のサイトではない可能性があります。」と警告されます。
この状態でhttp://twitter.com/ (非SSL)を見ると、「このサーバは、さくらのレンタルサーバで提供されています。」と書かれたページが表示されます。上記の112.78.125.151をWhoisで逆引きした結果はwww2311.sakura.ne.jpで、さくらのレンタルサーバのドメインであることが確認できます。
原因に思い至ったのが昨日(2012/11/16)の午後で、技術サービスにメールで問い合わせました。まだ返答はありませんが、どんな対応がなされるのかを見守りたいと思います。
もしも似た現象に悩まれている方がいたら、使っているDNSを変えてみられるといいかもしれません。もちろんウィルスの可能性もありますので、入念にウィルススキャンするなど、原因を多面的に探ってみる必要はあるでしょうが。
私の勘違いの可能性もまだ残っていますが、別のパソコンでも同じ現象が再現できているので、DNSサーバ側の問題ではないかと考えています。
nslookupコマンドで、DNSサーバを指定してtwitter.comのIPアドレスを調べた結果が以下(2012/11/17 7:30現在)です。
C:\Documents and Settings\xxxx>nslookup twitter.com ns1.dns.ne.jp
Server: ns1.dns.ne.jp
Address: 210.188.224.9
Name: twitter.com
Address: 112.78.125.151
C:\Documents and Settings\xxxx>nslookup twitter.com 202.232.2.38
Server: ns4.iij.ad.jp
Address: 202.232.2.38
Non-authoritative answer:
Name: twitter.com
Addresses: 199.59.150.7, 199.59.149.230, 199.59.148.82
ns1.dns.ne.jpはさくらインターネット、ns4.iij.ad.jpはIIJのDNSサーバです。twitter.comはツィッターのドメインで、Whoisで調べるとIPアドレスは199.59.150.7です。
つまり、IIJのDNSサーバが返す値が正しく、さくらインターネットのDNSサーバ(ns2.dns.ne.jpでも同じ結果)は間違っていることになります。Googleや他のフリーで公開されているDNSサーバでもざっと調べましたが、調べてみたすべてでtwitter.comの所有するIPアドレスに解決しました。
このDNSを使っているのは、私自身がさくらインターネットのレンタルサーバのユーザーだからで、サブドメインを登録した直後から、ブラウザで見え方を確認できるのが便利だからでした。
現象としては、パソコンのTCP/IPのプロパティのDNSで優先DNSサーバおよび代替DNSサーバにns1.dns.ne.jp(210.188.224.9)およびns2.dns.ne.jp(210.224.172.13)をセットしてhttps://twitter.com/を見ると、例えばchromeだと「このサイトは目的のサイトではない可能性があります。」と警告されます。
この状態でhttp://twitter.com/ (非SSL)を見ると、「このサーバは、さくらのレンタルサーバで提供されています。」と書かれたページが表示されます。上記の112.78.125.151をWhoisで逆引きした結果はwww2311.sakura.ne.jpで、さくらのレンタルサーバのドメインであることが確認できます。
原因に思い至ったのが昨日(2012/11/16)の午後で、技術サービスにメールで問い合わせました。まだ返答はありませんが、どんな対応がなされるのかを見守りたいと思います。
もしも似た現象に悩まれている方がいたら、使っているDNSを変えてみられるといいかもしれません。もちろんウィルスの可能性もありますので、入念にウィルススキャンするなど、原因を多面的に探ってみる必要はあるでしょうが。
2012年11月16日
DNSキャッシュポイズニング?
Gmailだけに繋がらないパソコンの件、ほぼ理由がわかりました。どうやら使っていたDNSサーバの問題のようです。気づいたきっかけは、twitterもつながらなくなったからです。
当初はウィルスやスパイウェア等によるhostsファイルの改ざん等を疑って、ウィルス対策ソフトやスパイウェア駆除ソフトを使ってみたのですが、hostsファイルは変えられている痕跡はなく、レジストリもhostsファイルを正しく参照していました。
それで、もしやと思ってpingで得られたIPをWhoisの逆引きで調べてみたところ、そのDNSを保有しているレンタルサーバーの一つのIPでした。
具体的にはtwitter.comの本当のアドレスは199.59.150.39ですが、そのDNSサーバを使う(インターネットプロトコル TCP/IPのプロパティでDNSリストの一番上に置く=最初にマッチングさせる)と、まったく別のアドレスに解決するわけです。
そこで、以前使っていたプロバイダのDNSをリストの一番上にしてPingを打つと、正しく199.59.150.39が返ってきました。LAN内の他のパソコンで試しても、再現しました。
現象からすると、DNSキャッシュポイズニングを受けているということなのでしょうか。現状のDNSプロトコルでは完全には防げないようなので、仕方ない面があるのかもしれません。
ともあれ、当該DNSサーバの管理部門にメールしました。私の思い違いかもしれませんし、とりあえず状況を調べていただくようお願いしました。
一見すれば堅牢に見えるネットの仕組みも、様々なリスクを内包していることを実感しました。怖いですね。
当初はウィルスやスパイウェア等によるhostsファイルの改ざん等を疑って、ウィルス対策ソフトやスパイウェア駆除ソフトを使ってみたのですが、hostsファイルは変えられている痕跡はなく、レジストリもhostsファイルを正しく参照していました。
それで、もしやと思ってpingで得られたIPをWhoisの逆引きで調べてみたところ、そのDNSを保有しているレンタルサーバーの一つのIPでした。
具体的にはtwitter.comの本当のアドレスは199.59.150.39ですが、そのDNSサーバを使う(インターネットプロトコル TCP/IPのプロパティでDNSリストの一番上に置く=最初にマッチングさせる)と、まったく別のアドレスに解決するわけです。
そこで、以前使っていたプロバイダのDNSをリストの一番上にしてPingを打つと、正しく199.59.150.39が返ってきました。LAN内の他のパソコンで試しても、再現しました。
現象からすると、DNSキャッシュポイズニングを受けているということなのでしょうか。現状のDNSプロトコルでは完全には防げないようなので、仕方ない面があるのかもしれません。
ともあれ、当該DNSサーバの管理部門にメールしました。私の思い違いかもしれませんし、とりあえず状況を調べていただくようお願いしました。
一見すれば堅牢に見えるネットの仕組みも、様々なリスクを内包していることを実感しました。怖いですね。
