• DNSサーバの脆弱性対策が進まない？　IPAが再度の注意喚起 - ITmedia エンタープライズ

「なぜ対策しないサイトがあるのか」といった問い合わせがIPAに多数寄せられているという。

そんなの理由なんていくらでもあるよね…。俺がIPAの中の人だとしたら、いやそんなこと言われてもねぇ、と思ってるだろうな。

• 管理者が無知
• え、塩漬けでいいんじゃないの?
• 知っているけどぶっちゃけめんどい
• 動いている物を変にいじりたくない。
• みんな誰かが対応する物だと思っていて誰も動かない。
• 管理者がいない。

じゃ、どうすれば何とかなるのか。IPAになにがしかの強制力があるわけでもないしねえ(IPA は Web サイトの脆弱性届け出とか受け付けてるけど、あれだって脆弱性の指摘をするだけで、修正の強制はしないよなたしか)。JPRSとかレジストラとかと共謀して、対策しないと名前停止するぞって脅してみるとか。でも海外レジストラ使ってるとアウトだな。(それ以前に契約上そんなことしたら殺されるな…)。そもそも自律分散システムでそんな強制はどうやったってできない。がんばっても、せいぜい各ドメインの管理者/abuse にメール送るくらいかな。ところが管理者がいないというオチだったりするんだきっと。

いや、某社某所の管理者とかやってるんだけど、管理者がいないってマジであり得るぜ。最近いろいろあったのは危なすぎて書けないけど。別にどこでも、担当者が部署移動したのに誰にも引き継いでないで、新しい管理者は回線についてはブラックボックス・塩漬け状態なんてのは確実にあり得る。回線だけじゃなくて、社内のネットワーク自体とか、DNSなどのインフラ系サーバとか、わりかし広い範囲についてお手上げ状態になってる会社とかそれなりにあると思う。特にある程度規模の大きいところ、複数のシステムが入っているとか、複数の回線を持っているとか、いろんな場所にシステムがおいてあるとかだと。

最近だと JPRS が lame deleagation についていろいろやっていたけど、現担当者にいっていなくてスルーされてるとか、それなりに発生しているんじゃないかなー、と想像。

実際やれそうなことってWebとかでの啓蒙活動くらいなんだけど、あとはもうちょっと by name な方法としてメールくらいか。対応しない管理者はそもそもそんな情報集めない人なんだよな大抵。そういう情報を集めてシステムを常に健全に保とうとする人はどんどん情報とノウハウをため込んでいくけど、そうじゃない人は何もしないので何も変わらないまま。考え方を転換してもらわにゃいけないのだろうけど、それはすごく難しいよねえ。どうしたらいいんだろ。