鍵情報を用いてDNS偽造を検出

JPドメイン名がいよいよDNSSECに対応

2011/01/17

　日本レジストリサービス（JPRS）は1月17日、同16日からJPドメイン名サービスにDNSSEC（DNS Security Extensions）を導入したことを発表した。

　DNSはインターネットの基盤技術の1つだが、DNS応答を偽造してエンドユーザーを悪意あるサイトに誘導する「DNSキャッシュポイズニング」攻撃の危険性が指摘されていた。これに対し、DNSの応答に電子署名を付加して、出所や内容の正当性を検証し、偽造を検出できるようにするセキュリティ拡張がDNSSECである。

　JPRSは2009年7月にDNSSECを導入する方針を表明。2010年10月に、jpゾーンにおけるDNSSEC署名を開始し、2010年12月にはルートゾーンに、.jpゾーンのDNSSEC署名を検証するための鍵情報を登録していた。これを用いて.jpゾーンの署名を問題なく検証できること、しかも既存のDNSインフラへの悪影響がないことを確認したうえで、正式に導入したという。

　今回のDNSSEC導入によって、JPドメイン名を登録している事業者は、DNS応答に付加した電子署名を検証するための鍵情報をJPRSに登録できるようになる。そしてエンドユーザーは、この鍵情報を用いてDNS応答が偽造されていないかどうかを検証し、フィッシング詐欺などのリスクから身を守る手助けにできる。

　JPドメイン名でのDNSSEC導入を受け、インターネットイニシアティブ（IIJ）、インターネットマルチフィード、NTTPCコミュニケーションズの3社がDNSSECに対応する方針を表明。DNSSECの鍵情報の取り次ぎやDNSキャッシュサーバにおけるDNSSEC対応などを進める予定だ。