脅かされるDNSの安全性：DNSSEC再入門（1）（1/2 ページ）

インターネットを支えるDNSとは

　インターネット上では、通信するコンピュータを特定するためにIPアドレスを使用する。しかし、数字のみで構成されるIPアドレスは人間にとって扱いづらいため、覚えやすいように名前を付ける方法が考案された。

　このとき、人間が使用する名前（ドメイン名）とコンピュータが使用するIPアドレスを対応付ける仕組みが必要になる。この役割を担うのが、ご存じDNS（Domain Name System）である。

DNSSEC導入の背景——カミンスキー型攻撃

　DNSは、インターネットの爆発的な普及に伴うドメイン名利用の急速な拡大にも対応し、インターネットにとって欠かせない重要な基盤技術の1つとなっている。しかし、その基本が「送られてきた情報を信用して受け取る」ことにあるため、悪意のある偽の情報も、条件がそろうと受け取ってしまうことがある。

　この、DNSのプロトコルが持つ弱点を突いた攻撃の代表格が「DNSキャッシュポイズニング」であり、その攻撃の成功率を飛躍的に高める方法として注目を集めたのが「カミンスキー型攻撃（セキュリティ研究家のダン・カミンスキー氏によって考案された手法）」である。

　カミンスキー型攻撃の成功率の高さはインターネット関係者に衝撃を与え、大きな問題として扱われた。そこで話題になったのが、いままで信用してそのまま受け取っていた情報を、受け取り側でその正当性を検証できるようにする仕組みの必要性である。

　誤解のないように付け加えておけば、DNSキャッシュポイズニングは、キャッシュDNSサーバをきちんと管理・運用することでその成功率を大幅に下げることができる。しかし、100％防ぐことは難しい。DNSの重要性を考えると、少しでもリスクがあるのなら、その対策を用意する必要がある。

　本稿での主要テーマである「DNSSEC（Domain Name System Security Extensions：DNSセキュリティ拡張）」は、そうした状況の中で選択された仕組みである。現在のDNSの機能を拡張することで、各ネームサーバが協調し、必要に応じて受け取り側でその正当性を検証できるようにする仕組みを実現する。

　すでにいくつかのトップレベルドメイン名で導入され、来年の1月からは日本のドメイン名である“.JP”でも導入される「DNSSEC」について、今後何回かの連載を通じて説明していく。

DNSの仕組みの簡単な復習

　DNSの仕組みを把握するためには、役割の異なる3種類のプレイヤーが存在することを理解する必要がある。その3種類とは、

である。

　ユーザーのコンピュータで動作するスタブリゾルバが、ユーザーが指定するドメイン名、例えば「www.example.jpのIPアドレスを知りたい」というリクエストを、キャッシュDNSサーバに対して送出する。このリクエストのことを「DNSクエリ」（または単にクエリ）と呼ぶ。

　クエリを受けたキャッシュDNSサーバは、まず自身が持っているキャッシュから、要求された情報を探す。キャッシュ内に情報がなければ、権威DNSサーバに対してクエリを送出する。

　このとき、キャッシュDNSサーバの持つルートサーバの情報を起点に、上位の権威DNSサーバから順に検索を行う。この動作を「反復検索」と呼ぶ。最終的な情報を持っている権威DNSサーバの応答には「権威ある応答（Authoritative Answer：AA）ビット」と呼ばれる情報があり、このビットがセットされている応答を受け取ると検索を終了する。

図1　DNSの基本動作

　次に、キャッシュDNSサーバの動作について詳しく説明する。

　この動作の中で、注目していただきたいのは以下の点である。

　いかがだろうか。特に、上の5項目はDNSの仕組みを理解するために重要な知識となる。

　余談だが、反復検索の過程で上位の権威DNSサーバが答える「委任先の権威DNSサーバ情報」は、委任先が上位のドメイン名管理者に申請したものが使われることになる。ドメイン名を登録し運用する際に、レジストリへ権威DNSサーバ情報を登録することは、この名前検索を確実に行えるようにするうえで必要不可欠なことである。