DNS の脆弱性、解決策は「DNSSEC の実装」

先日お伝えした、多くのシステムを危険にさらす恐れのあるDNS (Domain Name System) の重大な脆弱性に対し、世界中の管理者がパッチを当てる作業に追われている。DNS のセキュリティを強化する技術は何年も前から存在するのだが、広く実装されているとは言い難い。

DNSSEC (DNS Security Extensions) は DNS の信頼性を確保するため、DNS の情報を署名によって認証する技術だ。

『DNS & BINDクックブック』[邦訳オライリー・ジャパン刊] の著者で、Infoblox のバイスプレジデントを務める Cricket Liu 氏は、取材に対して次のように述べた。「DNS キャッシュ ポイズニングについて言えば、DNSSEC は非常に優れた解決策だ。DNSSEC はこの問題に対処するべく作られている。DNSSEC を広く実装すれば、キャッシュ ポイズニングは問題でなくなるだろう」

今回見つかった脆弱性について、セキュリティ研究者の Dan Kaminksy 氏は、DNS に広く見られる設計上の欠陥がキャッシュ ポイズニング攻撃につながる危険があると報告している。この攻撃は DNS サーバーを汚染し、その結果、ユーザーが任意のサイトに誘導される恐れのあるものだ。例えば、ユーザーが「Google.com」と入力しても、攻撃者が選んだサイトに接続させられてしまう可能性がある。

DNSSEC は1997年から開発されている技術で、数年前から Internet Systems Consortium (ISC) のオープンソース DNS サーバー『BIND』が実装している。

この技術は数年前から利用可能だったにもかかわらず、Infoblox が2007年に行なった調査では、DNSSEC を実装している DNS サーバーは全体の1％にも満たなかった。

「DNSSEC は依然として散発的にしか実装されていないが、状況は徐々に改善しつつある。上位の名前空間での実装例もある。例えば、スウェーデンのドメイン (.se) は署名されている」と Liu 氏は語る。

DNSSEC に移行するには、DNS 管理者が管理する全ての DNS ゾーンに署名し、署名したデータを確認するようネームサーバーを設定する必要があるため、作業としては大変なものだと Liu 氏は指摘している。