ルータメーカ、設定用ドメイン名更新せず他人に登録される

   このエントリをはてなブックマークに登録    2016/7/7-1

ルータメーカのTP-LINKがSOHOルータを設定する際に利用していた「tplinklogin.net」と「tplinkextender.net」の2つのドメイン名登録が更新されず、レジストラの匿名化サービスを利用した第三者によって失効したドメイン名が登録されてしまいました。両方ともネットワーク機器を設定する際に利用するドメイン名です。tplinkloginはルータを設定用、tplinkextenderは無線中継機用です。

このことを発見してTweetしたセキュリティ研究家によると、250万ドルでドメイン名が売りに出されています。それらのドメイン名が悪意のある人物に渡るとマルウェアなどが配布される恐れがあるという指摘もThe Hacker Newsに書かれています。

それらのドメイン名の用途は、ルータやWiFi機器の設定画面にWebブラウザをリダイレクトするというものです。 Webブラウザで、それらのURLとして入力すれば、自動的にルータやWiFi機器につけられているプライベートIPv4アドレスのURLへとリダイレクトされます。

影響範囲は限定的?

ComputerWorldの記事によると、TP-LINK機器に直接繋いだ環境で今回失効したドメイン名を入力したところ、特に問題なく設定画面へとリダイレクトされたとあります。SOHOルータなどの機器は、NATと同時にDNSプロキシ(DNSフォワーダ)の機能を持っていることが多いのですが、TP-LINKのDNSプロキシがtplinklogin.netという名前の問い合わせを受けると、インターネットに接続されたDNSキャッシュサーバへと問い合わせを行うのではなく、自分自身についているプライベートIPv4アドレスを返すように作られているものと思われます。そのため、ComputerWorldの記事では、今回のドメイン名失効によってTP-LINKに接続された機器が影響を受けないのではないかと推測しています。

悪意ある第三者が今回失効したドメイン名を登録したうえでマルウェア等を仕込んだ場合に、実際に影響を受けるのは、TP-LINK機器に接続していないユーザがWebブラウザ等で閲覧した場合なのかも知れません。

さらに、tplinklogin.netとtplinkextender.netは、最近の機器では利用されておらず、新しい機器はtplinkwifi.netを利用しています。 ただし、古い機器は、そららの文字列を利用し続けていますし、古いマニュアルからは今回失効した名前が参照されている場合があります。

ドメイン名の登録維持をどこまで続けるのか?

一度使い始めたドメイン名をどこまで保持するべきなのかという話は、昔からいろいろあります。

以前、総務省が2013senkyo.jpというドメイン名で参議院議員通常選挙特設サイトを作っていましたが、もしかしたら、何らかの理由で、そのうち登録が失効するかも知れません(参考:そのドメイン名、使い終わった後も面倒を見続ける覚悟がありますか?)。 一度しか使わないことが明確にわかっているドメイン名の登録は、その後のドメイン名維持管理が空いのです。

「サイト運営しないからドメインを削除して」といってドメイン名登録を更新しなかったら、かつては会社ブランドで運営していたURLがエロサイトに変わってしまって「元に戻せ」と言われたという話もありました(参考:ドメイン名の永代供養)。

今回の話も、昔から良くあるドロップキャッチの問題なのですが、機器の設定に関わるドメイン名の登録維持なので、漠然とした不安を感じてしまいます。(現時点では、「これは危ない!絶対注意!」というレベルのように思えないので、「漠然とした不安」なのですが。)

   このエントリをはてなブックマークに登録