同組織のTLD Application System(TAS)は、「.gay」「.london」「.blog」といったgTLDを内密に申し込むため、世界の企業が1月から使用してきたものだが、申し込み者の一部が他の申請者に属する情報を閲覧可能になるバグのため、現在10日間ダウンしている。
ICANNは問題は修正されたと主張しているが、どの申し込み者のデータが、他の申し込み者から見えてしまったかを特定するため、大量のTASログを吟味するのに少なくともあと1週間かかると述べている。
少なくとも3月19日には、ICANNはこのバグについて報告を受けていたが、この問題がいかに深刻なものになり得るかに気付き、停止したのは、申し込み最終締め切りのたった12時間前、4月12日のことだった。
同団体は当初、4月17日までにシステムを再稼働したいと考えていたが、締め切りが過ぎたため、4月20日金曜日までのタイミングでユーザーにアップデートを提供すると約束した。
しかし、週末に登場したアップデートは、4月27日金曜日の終わりまでに、アップデートを提供するという約束にしか過ぎなかった。
「遅くとも2012年4月27日までに、システムおよび申請された新しいドメイン名の発行の再開についてアップデートを提供する」と、COOのAkram Atallahは述べた。
ICANNはメディアからのインタビュー要請を断っているが、金曜、同団体の広報責任者で最高セキュリティ責任者のJeff "The Dark Tangent" Mossとのビデオインタビューを公開し、脆弱性の技術的詳細の一部を説明した。
「以前ファイルを削除したユーザーの複製が難しい特定の状況下で、ファイルをアップロードしたユーザーのファイル名が見えてしまったようです」とMossは語っている。「データを求めていなかったユーザーに特定のデータが表示されましたが、それはスクリーン上でのことに過ぎません。」
Mossは外部の攻撃者がデータにアクセスしていないこと、そして障害の起きたファイルの内容には、そのファイルに権利を持つ申請者以外にはアクセスできないことを請け合った。
とは言え、ファイル名自体に価値があった可能性がある。同じ文字列を申請するアプリケーションがかち合うリスクを軽減する目的で、大部分のgTLD申請は、公表されることなく秘密裏に受け付けている。
ICANNの新たなgTLDプログラムの構築法により、複数の申請の「競合」は、最終的にオークションにかけられる可能性がある。これにより、ほとんどの申請者に守秘の必要性が生じる。
多くの企業が、TASに申請したgTLD文字列にちなんで命名したファイルをアップロードしていることから、機密情報が損なわれた可能性があるのだ。
不正行為の申し立てはまだ成されていないが、ICANNはどのデータが誰によって閲覧可能だったかを、少なくとも申請者に対しては、完全に開示すると約束している。
「我々は全員に通知します。どのファイル名、ユーザー名が、ログインした誰に、いつ表示されたか、分かっているからです」とMoosは言う。「我々はあらゆるごまかしを防止したいと考えており、それを公に行いたいと考えています。どのファイル名、ユーザー名が表示されたか、再現することが可能です。」
TAS再開の遅れは、一部の申請者には評判が良くない。
ドメイン名登録事業者Indomのジェネラル・マネージャーStephane Van GelderはCircleIDの論説で述べている「現在のICANNへのアドバイスは、急げ、ということだ。」
「不具合の影響を受けたかもしれない申請者のデータを全て確認しようと、ぐずぐずするのはやめた方が良い」と、影響力のあるICANNのGNSO評議会議長でもあるVan Gelderは言う。「ICANNの次のアップデートは…以下のようにあるべきだ:『新たなgTLDプログラムを起動に戻すため、我々はTASをやり直す事に決定しました。』」
同組織は現在、最終的な申請の締め切り前の5営業日の間、TASを再開する予定だ。これは早くとも5月4日、すなわち20日の遅れを意味している。その結果、同団体が4月30日に予定していたパブリックコメントの募集を発表する公開日が、延期されることになった。
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
