皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のあるドメインレジストラ（指定事業者）からメールが届きました。

それによると、以前から延期となっていた『ルートゾーン情報の電子署名鍵（KSK：Key Signing Key）の更新（ロールオーバー）』が承認されたとなっています。

ICANNのロールオーバー承認による影響

今年の夏の時点では2018年10月11日の実施を予定していることにはなっていたものの、それはICANN（The Internet Corporation for Assigned Names and Numbers）理事会の承認待ちという状態でした。

しかし、レジストラからのメールによるとそれが最近承認されたとなっており、予定通り今月11日にKSKのロールオーバーが実施されることになります。

これによって影響を受けるのは、基本的には『DNSSEC（Domain Name System Security Extensions）』が有効になっているドメインに限りますが、以前の記事にも書いた通り、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまった場合、ホスティング会社においてDNSキャッシュサーバへの対応がなされていなければDNSSECが有効になっていなくても影響を受ける可能性があります。

つまり、その場合は名前解決ができなくなり、ウェブサイトが閲覧できない状態になる可能性を秘めています。

行える対応策としては、

１．DNSSECが有効になっている場合、それを一度無効にする。それでも解決しない場合はISP（インターネットサービスプロバイダ）から新しい鍵を取得し、レジストラ側の更新を行う。

２．DNSSECが無効になっている場合、前述の通りホスティング会社のDNSキャッシュサーバへの対応によると思われますので、契約のホスティング会社に問い合わせてみることになります。

来週は自社（自店）運営サイトなどに注意です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、『WordPress4.9.6でGDPR対応』という記事でも触れた通り、EU圏で始まった『GDPR』の影響はドメインにも及んでいます。

それは一体どういう意味なのでしょうか？

GDPRの影響がドメインにも出た

今回、ある海外のレジストラ（ドメインの登録・管理などを行う業者）が早々に手を打ってきました。

プライバシーを保護するための『Whois Guard』を永久に無料にすることを決めたのです。

ドメインは、登録者、管理者、技術担当者などの情報がデータベース化されており、これを保護する契約をしないと誰にでもそれらの情報が見れてしまいます。

そして、日本においてはドメインの新規登録時に同時申し込みをすることで無料になるキャンペーンを続けているところが多いようですが、海外の場合は基本的には常時オプション扱いで別料金が発生していました。

この、オプション扱いとなっている有料サービスは、GDPRによってプライバシーの保護が義務化されるため無条件で提供せざるを得ないということになります。

実はこの問題、既に『ICANN（Internet Corporation for Assigned Names and Numbers）』が『WHOIS』というデータベースに対して取り組みを続けているという報道が出ていました。

しかし、GDPRに違反した場合最大で2000万ユーロまたは年間売上高の4%のいずれか高い方を科される可能性があるため、早々に永久無料という措置を取ってきたのでしょう。

現に、GDPR施行直後に米国大手IT関連企業が既に提訴されてもいます。

これらのことを受け、今後はこのような動きが他でも出てくるのではないかと思われます。

その内容は、ドメインの期限更新を装ったフィッシング詐欺と思われるものでした。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、私自身が3連休の最終日に遭遇した事例に関してお伝えします。

このような事例です。

ドメインの期限更新を装ったフィッシングメール

振替休日だった2月12日、スマートフォンでメールのチェックをすると、ウェブサイトのお問い合わせフォームから怪しいお問い合わせが届いていました。

内容を確認すると、以下のようなことが書かれていました。

１．ドメインの有効期限切れによるさまざまな損害について責任を負わない。

２．ドメインを更新するための最終通知である。

３．リンクへアクセスさせるURLの記載（フィッシング部分）

４．ドメインの有効期限が切れた場合、いくつかの権利を留保する。

５．オンライン決済へのリンクURLの記載（フィッシング部分）

日本語で要約して書きましたが、このような内容の文章が英語で書かれていました。

ここで注意したいのは、『あれ？そんなことは無いはずなのに。。。』と思いながらも念のためリンクをクリックしてしまわないようにすることです。

相手はそれが狙いですので、クリックしてしまえば被害に遭う可能性が高くなります。

どうしても心配な場合、そのドメインの有効期限をレジストラの管理画面やwhois検索などにて確認すればわかります。

.comや.netなどのドメインであれば、whois情報に書かれている『Expiration Date』が有効期限のことです。

また、そもそも有効期限が迫っているお知らせの通知などはレジストラからメールが届くことが大半ですので、意味不明なところから期限更新を警告するアナウンスは届くはずがありませんし、ましてやお問い合わせフォームから投稿してくるということはあり得ません。

このようなことで被害に遭わないよう、参考のためにホッとな事例をご紹介しましたが、これは社内全体で情報を共有しておかないと被害に遭う可能性があります。

慌てず、冷静に対処すれば問題は起きませんので、しっかりと情報を共有しておいてください。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『DNSSECを使えるなら使うべき』という記事にて、DNSSEC（Domain Name System Security Extensions）に関して触れましたが、このDNSSECに関しても日本においては世界に比べて非常に普及率が低い状況です。

では、これが施されていないとどのような危険性があるのでしょうか？

DNSキャッシュポイズニング攻撃

DNSは、負荷軽減や高速化を目的としてドメインの情報を一時的にキャッシュする仕組みを取り入れていることが多いのですが、このキャッシュ機能を悪用して偽のDNS情報を蓄積させてしまう『DNSキャッシュポイズニング』という攻撃があります。

これにより、本来とは異なる有害サイトへの誘導やWeb、メール内容の盗聴や改ざん、スパムメールの送信など、さまざまな影響を及ぼしたりします。

これらは、自分自身をはじめ、関係者や取引先が騙されてしまい被害にあうなど、重大な問題に発展する可能性を秘めています。

DNSSECの普及状況

さて、このDNSSECの普及状況を見てみると、アメリカ、ヨーロッパあたりは20%強程度普及していますが、日本においては9%程度、アジアの平均程度しか普及していません。

（北欧などの一部の地域では90%を超えています。）

日本は国の行政機関も大半は対応しておらず、ここでも日本におけるセキュリティ意識の低さを感じます。

ただし、日本においては整備が追い付いていないことから行えない現状もあるようで（レジストラなどが対応していない）、現時点においては行えないという方が正しいかもしれません。

日本国内においても早く整備されることを願うばかりです。