皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨日、米国のあるドメインレジストラ（指定事業者）からメールが届きました。

それによると、以前から延期となっていた『ルートゾーン情報の電子署名鍵（KSK：Key Signing Key）の更新（ロールオーバー）』が承認されたとなっています。

ICANNのロールオーバー承認による影響

今年の夏の時点では2018年10月11日の実施を予定していることにはなっていたものの、それはICANN（The Internet Corporation for Assigned Names and Numbers）理事会の承認待ちという状態でした。

しかし、レジストラからのメールによるとそれが最近承認されたとなっており、予定通り今月11日にKSKのロールオーバーが実施されることになります。

これによって影響を受けるのは、基本的には『DNSSEC（Domain Name System Security Extensions）』が有効になっているドメインに限りますが、以前の記事にも書いた通り、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまった場合、ホスティング会社においてDNSキャッシュサーバへの対応がなされていなければDNSSECが有効になっていなくても影響を受ける可能性があります。

つまり、その場合は名前解決ができなくなり、ウェブサイトが閲覧できない状態になる可能性を秘めています。

行える対応策としては、

１．DNSSECが有効になっている場合、それを一度無効にする。それでも解決しない場合はISP（インターネットサービスプロバイダ）から新しい鍵を取得し、レジストラ側の更新を行う。

２．DNSSECが無効になっている場合、前述の通りホスティング会社のDNSキャッシュサーバへの対応によると思われますので、契約のホスティング会社に問い合わせてみることになります。

来週は自社（自店）運営サイトなどに注意です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の夏から来年の春にかけ、ICANN（The Internet Corporation for Assigned Names and Numbers）がルートゾーンに重要な更新を実施するようです。

さて、重要な更新とはいったい何が起きるのでしょうか？

KSKロールオーバーが行われる

以前、『DNSSECを使えるなら使うべき』という記事などにおいて『DNSSEC』というものに関して触れましたが、このDNSSECにおいてDNS応答の検証に使われるルートゾーン情報の電子署名鍵（KSK：Key Signing Key）が更新（ロールオーバー）される、これが今回行われる重要な更新ということです。

DNSのルートゾーンには、ルートゾーンのレコードに署名するZSK（Zone Signing Key）と、そのZSKに署名するKSKとがあり、ZSKは3ヶ月に一度更新されるようですが、KSKは今まで一度も更新されたことがなく、今回初めて更新されることになります。

（本来は5年に一度更新されることになっているようですが、今回は初めての更新のため、2年間の準備期間を設けていたようです。）

では、これによってどのような影響があるのでしょうか？

DNSSEC未使用でも影響を受ける

KSKロールオーバーによる影響は、前述のDNSSECを使っていなければ問題ないというわけではなく、DNSSECを使っていなくても影響を受ける可能性はあるようです。

これは、KSKロールオーバーによってDNS応答のパケットサイズが通常の倍以上になってしまう可能性があり、それによって名前解決ができなくなる、つまり、DNSSECの有無にかかわらず影響を受ける可能性があるということです。

名前解決ができなくなった場合はどうなるか？

当然、ウェブサイトは閲覧できない状態になります。

ただし、実際に影響を受けるのはDNSキャッシュサーバの運用者などになりますので、ホスティングでウェブサイトを公開しているだけの一般ユーザーは基本的には影響はないようですが、ホスティング会社なども現在対応を協議中としているところもあり、その対応がなされれば問題は発生しないということにはなります。

ご参考までに。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『DNSSECを使えるなら使うべき』という記事にて、DNSSEC（Domain Name System Security Extensions）に関して触れましたが、このDNSSECに関しても日本においては世界に比べて非常に普及率が低い状況です。

では、これが施されていないとどのような危険性があるのでしょうか？

DNSキャッシュポイズニング攻撃

DNSは、負荷軽減や高速化を目的としてドメインの情報を一時的にキャッシュする仕組みを取り入れていることが多いのですが、このキャッシュ機能を悪用して偽のDNS情報を蓄積させてしまう『DNSキャッシュポイズニング』という攻撃があります。

これにより、本来とは異なる有害サイトへの誘導やWeb、メール内容の盗聴や改ざん、スパムメールの送信など、さまざまな影響を及ぼしたりします。

これらは、自分自身をはじめ、関係者や取引先が騙されてしまい被害にあうなど、重大な問題に発展する可能性を秘めています。

DNSSECの普及状況

さて、このDNSSECの普及状況を見てみると、アメリカ、ヨーロッパあたりは20%強程度普及していますが、日本においては9%程度、アジアの平均程度しか普及していません。

（北欧などの一部の地域では90%を超えています。）

日本は国の行政機関も大半は対応しておらず、ここでも日本におけるセキュリティ意識の低さを感じます。

ただし、日本においては整備が追い付いていないことから行えない現状もあるようで（レジストラなどが対応していない）、現時点においては行えないという方が正しいかもしれません。

日本国内においても早く整備されることを願うばかりです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

以前に一度DNSSECに関して触れたことがあります。

DNSSECを使えるなら使うべきという記事にて触れさせていただきました。

これをおさらいしておくと下記のようなことを行っています。

DNS応答の完全性検証

ドメインは、DNSというものにて名前の解決を行っています。

簡単には、住所のようなIPアドレスとドメインの紐づけを行っているようなものなのですが、そのDNSの応答は答えが正しいものかどうかのチェックを行っていません。

それにより、偽装された応答を紛れ込ませておいて偽サイトのサーバーへ誘導させてしまうことも起きています。

それを防ぐためにDNSSECというものを使い、ユーザーがWEBサイトを訪れようとした際に行われるDNS応答が正しいものであるかを鍵と署名をつけて返し、それらから守ったりします。

DNSSECの署名キー作成と設定

しかし、DNSSECというものでDNSを保護できることを知ったとしても、その作成から設定に至るまでの手順があまり知られていないように感じます。

そこでDNSSECの作成・設定手順を記載しておきます。

１．ウェブサイトを置いているホスティング会社にDNSSECの署名キー作成・発行依頼をします。

　　（例：お名前.comのサーバーを使っているのであればお名前.comへ依頼）

２．example.jp. 86400 IN DS 60485 5 1 (2BB183AF5F225…)といった感じのものが発行されます。　

３．２の内容をドメインを管理している指定事業者（お名前.comのようなところ）へ登録します。

基本的にはこの手順でDNSSECの設定は完了します。

ただし、１と３のそれぞれにおいてDNSSECの対応をしていることが前提になりますので、対応の可否は契約先に確認してみてください。

追伸：アルゴリズム番号は”8″か”10″（海外のように”13″の対応がまだなので）、ハッシュは”SHA-256″をお勧めします。

言葉かと思いますが、WEBの世界も今後はこれも取り入れる時代になってきています。

皆さん、こんにちは。

業務コンサルタントの高橋です。

WEBの世界でもいろいろな手段で偽装などが行われ、日々危険にさらされていることは

ご承知の通りです。

そこで、今回は少々見えにくい部分の対策に関してお話ししたいと思います。

まず、DNS（Domain Name System）というのは、ドメイン（www.trilogyforce.com等）

から対象のサーバーのIPアドレス（住所のようなもの）を教えてくれるもので、WEBの

閲覧やメールを使うためには欠かせないものです。

そして、そのDNSの応答はあまり守られていない、つまり、答えが正しいものかどうかの

チェックを行っていません。

そのため、そこについて攻撃してくることも発見されています。

要は、偽装された応答を紛れ込ませておいて、偽サイトのサーバーへ誘導させてしまう

ことも起きているのです。

こういったこともフィッシング被害などの原因になっています。

そこで役立つのがDNSSEC（Domain Name System Security Extensions）というものです。

これを使うことにより、ユーザーがWEBサイトを訪れようとした際に行われるDNS応答が

正しいものであるかを鍵と署名をつけて返します。

単純に言えば、上記のような応答の完全性を検証してくれることを各段階のサーバーにて

行ってくれることで守られるということです。

ですから偽装されていれば不正な応答ということで判断し、名前解決失敗としてエラーを

返すことになります。

少々難しい話しではありますが、認識していただきたいのは、できる限りユーザーを守る

処置も考えていただきたいということです。

今ご覧いただいているこのウェブサイト、正確にはドメインですが、この trilogyforce.com

ではDNSSECを試験的に取り入れています。

皆さんが使われているホスティング会社やドメインを管理しているレジストラーが

DNSSECに対応しているのであれば、是非採用してみてください。