第7回・DNSSEC
DNSSEC(Domain Name System Security Extensions)は、DNSサーバがやりとりする対応情報の正当性を検証できるセキュリティ拡張機能で、一般的には「ディーエヌエス・セキュリティ」と読みます。具体的には、IPアドレスとホスト名の対応情報を送信する上位のDNSサーバが秘密鍵を使ってハッシュ値(特定の計算方法を使ってデータやファイルから割り出した値)を暗号化し、それを受信したDNSサーバが公開鍵を使って復号します。復号したハッシュ値が一致すれば、正当なDNSサーバからの応答であることと、その情報が途中で改ざんされていないことの証明になります。
DNSSECが注目されるようになったきっかけは、2008年7月に深刻なDNSの脆弱性が発見され、本来関係者だけが閲覧できる詳細資料が誤って一般公開されたことでした。その直後、発見された脆弱性を悪用してDNSサーバの情報を不正に書き換え、特定のドメインにアクセスできないようにしたり、特定のドメインへのアクセスを全く別のサイトに誘導したりする「DNSキャッシュポイズニング攻撃」の被害が続出しました。通常のDNSサーバは通信相手の認証手段を持たないという弱点が以前から指摘されていましたが、その弱点を補う技術として実装が進められてきたのがDNSSECです。
DNSSECによる運用を行うには、最上位階層のルートDNSサーバ以下のすべての階層でキャッシュDNSサーバを含めてDNSSECを導入する必要があります。最上位のルートゾーンについては、2010年7月15日にDNSSECの導入が完了し、トップレベルドメイン別の導入が進められています。2011年1月16日には「.jp」などのJPドメインへの導入が完了し、JPドメインにおけるDNSSECの運用体制が整いました。DNSSECを導入したい企業は、レジストラを通じて鍵情報(DSレコード)の登録を依頼することになります。一部レジストラでは、すでに1月からDNSSECの鍵情報の取り次ぎを開始しています。
| テクノロジー名 | DNSSEC(ディーエヌエス・セキュリティ) |
| 技術の概要 | 公開鍵暗号方式を使って、DNSサーバ間でやりとりされるIPアドレスとホスト名の対応情報の正当性を検証できるセキュリティ拡張機能。 |
| 普及状況 | 2010年7月15日に最上位のルートゾーンに導入完了。2011年1月16日には「.jp」などのJPドメインへの導入が完了し、すでに一部のレジストラでは鍵情報(DSレコード)の取り次ぎ業務を開始している。 |
| 考えられる影響 | DNSSECが普及すれば、2008年7月に発見されたDNSの脆弱性はほぼ解消され、サイトがフィッシング詐欺に悪用されるケースも減ると期待されている。ECサイトなどWebサイトのセキュリティ向上に貢献する。 |
DNSSECが普及すれば、DNSキャッシュポイズニングの脅威はほぼ解消され、サイトがフィッシング詐欺に悪用されるケースも減ると期待されています。ECサイトなどでは利用者の安心感が向上する効果があるでしょう。しかし、企業や組織などが運用するキャッシュDNSサーバにDNSSECを導入するにはコストがかかります。サイトのセキュリティに関する技術としては、従来のSSL証明書を大幅に拡張したEV SSL証明書がありますが、まだ十分に普及しているとはいえません。日本では実質的に今年から導入が開始されたDNSSECですが、今年1年間でどのくらい導入が進むかが注目されます。
-----------------------------------------------------------------
◎初出:2011年2月28日
-----------------------------------------------------------------
| 固定リンク