JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

メールマガジン「FROM JPRS」

バックナンバー:vol.162

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2016/06/22━
                    ◆ FROM JPRS 増刊号 vol.162 ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                   Interop Tokyo 2016 JPRS活動報告
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

最新のICT技術やソリューションを会場で体験できるイベント「Interop Tokyo
2016」が、6月8日から10日までの3日間にわたり幕張メッセで開催され、JPRS
もブース出展を行いました。展示会には307社が出展し、来場者数も14万人を
超え、前年を上回る盛況となりました。

JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSに関する情報
提供を行いました。今回のFROM JPRSでは、ミニセミナーの内容をお届けしま
す。

           ◇                     ◇                     ◇           

■JPRSブース ミニセミナー

ミニセミナーでは、ドメイン名・DNSに関する基礎知識に加え、技術情報や業
界全体で注目を集めている最新のトピックスについて、コンパクトにまとめた
形でご紹介しました。

今回のミニセミナーでは、

  ・ドメイン名とDNSの基礎知識
  ・DNS関連ホットトピックス
  ・新gTLDの最新動向 ~企業名・ブランド名がTLDで使える時代に~

の三つの話題を取り上げ、それぞれ多くの回で立ち見が出るなど、たくさんの
方々にご参加いただきました。

以下、各セミナーの内容をご紹介します。

▼ドメイン名とDNSの基礎知識

インターネット上の住所に例えられるように、Webサイトやメールアドレスに
欠かすことのできないドメイン名。特に、ドメイン名の末尾にある「.jp」や
「.com」などの文字列を「トップレベルドメイン(TLD)」と呼びます。セミ
ナーでは、TLDは国や地域に割り当てられた2文字のccTLDと、3文字以上の
gTLDとの2種類に大別できること、ICANN(*1)からTLDごとにドメイン名の登
録管理を委任された「レジストリ」と呼ばれる組織が存在すること、更に日本
に割り当てられた「.jp」のレジストリがJPRSであることなどをご紹介しまし
た。

(*1)Internet Corporation for Assigned Names and Numbersの略称で、ド
      メイン名、IPアドレスなどのインターネット資源管理に関する調整を行
      うために設立された民間の非営利法人です。

また、個人や企業、組織が独自ドメイン名を利用するメリットとして、以下の
項目を解説しました。

  ・好きな文字列をドメイン名として利用できるため、Webサイトの内容や、
    どの企業のメールアドレスであるかを伝えやすくなる
  ・アドレスが短く、分かりやすくなる
  ・SEO(検索エンジン最適化)に効果的と言われている
  ・インターネットプロバイダーを変更しても、アドレス変更の必要がない

次に、ドメイン名とIPアドレスを対応付けるDNS(Domain Name System)の仕
組みに関して、Webブラウザーから特定のWebサイトへアクセスする際の流れを
例に解説しました。世界で3億件以上存在するドメイン名を管理するために、
DNSがルートサーバーから始まる階層構造を取っていることをご紹介しながら、
JPRSの管理する「JP DNS」が日本のインターネットにおいてどれだけ重要であ
るかについても触れ、安定性・安全性を高めるため、国内外の26拠点にサー
バーを設置していることをお話ししました。

また、JPRSは「.jp」の登録管理とJP DNSの運用にとどまらず、A~Mまで13系
列存在するルートサーバーの一つである「Mルートサーバー」をWIDEプロジェ
クトと共同運用していること、ドメイン名・DNSに関する技術の標準化や、DNS
の運用に携わる方々への情報提供などのさまざまな活動に取り組んでいること
をお話ししました。

▼DNS関連ホットトピックス

最近のDNS関連トピックスの中から、ネットワーク管理者やサーバー運用担当
者が特に注意・対応すべき内容として、以下の項目を解説しました。

  ・権威DNSサーバーのゾーン転送設定不備
  ・DNSを情報伝達手段として利用するマルウェア
  ・名前衝突による既存の脆弱性の再発
  ・ルートゾーンのZSK鍵長変更

▽権威DNSサーバーのゾーン転送設定不備

ゾーン転送は2台の権威DNSサーバー間でゾーンデータを同期するための仕組み
で、通常はプライマリサーバーとセカンダリサーバーの間で使われます。JPRS
は2016年1月12日、このゾーン転送が意図しない形で実行された場合、悪意を
持つ第三者に対してゾーン情報が流出し、セキュリティに対する潜在的なリス
クが高まる旨の注意喚起文書を公開しました。

ホスト名とIPアドレスの一覧は、ネットワーク構成や提供サービスの内容を推
測するヒントとなり得るため、悪意を持つ第三者にとっては、攻撃対象を定め
る際の情報源となります。詳細は、以下のURIをご覧ください。

  ○権威DNSサーバーの設定不備による情報流出の危険性と設定の再確認につ
  |いて(2016年1月12日公開)
  |https://jprs.jp/tech/security/2016-01-12-unauthorized-zone-transfer.html

  ○設定ガイド:ゾーン転送要求への応答を制限するには【BIND編】
  |https://jprs.jp/tech/notice/2016-01-12-fixing-bind-zonetransfer.html

▽DNSを情報伝達手段として利用するマルウェア

botnetをコントロールするC&Cサーバーとの通信や機密情報の抜き取りにDNSを
利用する事例が観測されました。従来のIRC、HTTP/HTTPSなどを利用した手法
と比較して、次の三つが問題として懸念されています。

  ・DNS通信は他の通信手段と異なり、フィルターされていない場合が多い
  ・BINDの初期設定ではDNSクエリログが取られておらず、状況把握が難しい
  ・対象の機器が外部と直接通信できない場合も、フルリゾルバー(キャッ
    シュDNSサーバー)を経由して情報を抜き取ることが可能

対策として、クエリログの記録とチェック、いわゆるDNSファイアウォールな
どによる不審なDNS問い合わせの検知とフィルタリングが挙げられます。

本件に関し、株式会社ラックと米国FireEye社が具体的な事例を報告していま
すので、以下URIよりご覧ください。

  ○遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起
  |http://www.lac.co.jp/security/alert/2016/02/01_alert_01.html

  ○MULTIGRAIN - Point of Sale Attackers Make an Unhealthy Addition to
  |the Pantry
  |https://www.fireeye.com/blog/threat-research/2016/04/multigrain_pointo.html

▽名前衝突による既存の脆弱性の再発

gTLDの増加に伴い、名前衝突による問題の発生が複数報告されています。その
一つとして、US-CERTは2016年5月23日、WPADの名前衝突が引き起こす脆弱性に
対し、注意喚起文書を公開しました。

WPAD(Web Proxy Auto-Discovery Protocol)は、組織内のWebプロキシサー
バーを自動検出・設定するためのプロトコルで、自動検出の際にDNSを使用し
ます。

今回の攻撃手法は、新gTLDプログラムに伴う名前衝突により、本来組織内に
閉じた形で運用されるべきWPADのDNSクエリが外部に漏えいすることを悪用し
たものです。具体的には、外部の攻撃者が、漏えいしたDNSクエリを受信し、
不適切な応答を返す権威DNSサーバーをインターネット上に準備することで、
不正なプロキシサーバーをWebブラウザーに誤設定させ、中間者攻撃(Man-in-
the-Middle Attack)を実行します。

組織内でWPADを運用していない場合は、端末側でWPADの設定を無効にすること
で対策が可能です。WPADはMicrosoftのOSであるWindowsと、Webブラウザーの
IE/Edgeにおいて初期設定で有効になっているため、注意が必要です。

本件に関しては、JVN(Japan Vulnerability Note)が日本語での情報提供を
行っていますので、下記URIよりご覧ください。

  ○JVNTA#91048063: WPAD と名前衝突の問題
  |https://jvn.jp/ta/JVNTA91048063/

また、WPAD以外でも、名前衝突に起因する同様の問題が発生する可能性があり
ます。JPRSでは、名前衝突のリスク緩和に関するICANN報告書の解説書を作成、
公開していますので、併せてご覧ください。

  ○Mitigating the Risk of DNS Namespace Collisions(日本語解説)
  |https://jprs.jp/tech/material/2016-04-06-name-collision-mitigation-commentary-ja.pdf

▽ルートゾーンのZSK鍵長変更

2016年4月1日のDNS-OARC WorkshopでVerisignの担当者から、2016年10月1日の
ロールオーバーの際にルートゾーンのZSK(Zone Signing Key:ゾーン署名鍵)
の鍵長を現在の1024bitから、2048bitに更新する予定であることが発表されま
した。

DNSSECの署名鍵には、KSK(Key Signing Key:鍵署名鍵)とZSKの2種類が存在
します。ルートゾーンではKSKをICANN、ZSKをVerisignが管理しており、それ
ぞれの現在の鍵長はKSKが2048bit、ZSKが1024bitとなっています。今回のロー
ルオーバーではZSKのみが更新され、KSKは更新されません。

今回の鍵長変更の背景には、ZSKで使われている1024bitのRSA暗号が米国国立
標準技術研究所(NIST)の安全基準を満たさなくなったことが一因としてある
のではないかと推察されています。

Verisignでは緊急対応のため、従来と同じ1024bitのZSKも生成・準備すること、
非常時には旧ZSKへのロールバックを実施する予定であることを併せて発表し
ています。

今回のロールオーバーにより、ルートサーバーのDNS応答サイズが増大します。
Verisignでは2016年5月6日に、ユーザー側でDNS応答サイズ増大の影響を検証
できるテスト用サイトを公開し、問題が解決できない場合には電子メールで連
絡してほしい旨を呼び掛けています。

  ○DNSSEC Key Size Test
  |http://keysizetest.verisignlabs.com/

▼新gTLDの最新動向 ~企業名・ブランド名がTLDで使える時代に~

ICANNが2012年に行った分野別トップレベルドメイン(gTLD)の募集には、全
世界から1,930件の申請があり、現時点で1,000件を超える新gTLDが委任されて
います。

セミナーでは、実際に登録・利用が始まった新gTLDのうち、企業名やブランド
名と同じ文字列で申請された「ブランドTLD」に焦点を当て、日本企業からの
申請数といった2012年募集時の傾向や、国内外の企業の活用事例を紹介しまし
た。なおJPRSでは、ドメイン名やDNSに関する研究開発を目的として申請した
ブランドTLD「.jprs」を運用しており、既に国内の通信事業者と共同研究を開
始しています。

また、次回のgTLDの募集は、2012年募集時の申請に対する評価が終了した後に
行われる可能性が高いとされています。JPRSでは次回募集に向け、ポリシー策
定を行うWGなどに参加する他、インターネットユーザーに向けた最新情報の発
信などを行っていく予定です。

ブランドTLDの申請や運用、最新情報にご興味がありましたら、下記メールア
ドレスまでご連絡ください。
tld-info*jprs.co.jp

スパムメール防止のため、「@」を「*」と表示しております。
メールを送られる際には、「*」を「@」に直して入力してください。 

■JPRS Webで公開中の情報提供資料

JPRSがセミナーでご紹介した資料や、ブースで配布した資料の一部は、JPRSの
Webサイトでも公開しています。下記関連URIからぜひご覧ください。

  ○JPRS DNS 関連技術情報
  |https://jprs.jp/tech/

  ○ドメイン名やDNSの解説コラム「JPRS トピックス&コラム」
  |https://jprs.jp/related-info/guide/

  ○JPドメイン名レジストリレポート
  |https://jprs.jp/about/report/

  ○ポン太のネットの大冒険~楽しくわかるインターネットのしくみ~
  |https://jprs.jp/related-info/study/

           ◇                     ◇                     ◇           
 
◎関連URI

  - Interop Tokyo 2016
    http://www.interop.jp/2016/

━━━━━━━━━━━━━━━━━━━━━━━━━━━【FROM JPRS】━
■会議報告:https://jprs.jp/related-info/event/
■配信先メールアドレスなどの変更:https://jprs.jp/mail/henkou.html
■バックナンバー:https://jprs.jp/mail/backnumber/
■ご意見・ご要望:from@jprs.jp

当メールマガジンは、Windowsをお使いの方はMSゴシック、Macをお使いの方は
Osaka等幅などの「等幅フォント」で最適にご覧いただけます。

当メールマガジンの全文または一部の文章をWebサイト、メーリングリスト、
ニュースグループ、他のメディアなどへ許可なく転載することを禁止します。
また、当メールマガジンには第三者のサイトへのリンクが含まれていますが、
リンク先のサイトの内容などについては、JPRSの責任の範囲外であることに
ご注意ください。
その他、ご利用に当たっての注意事項は読者登録規約にてご確認ください。
https://jprs.jp/mail/kiyaku.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集・発行:株式会社日本レジストリサービス(JPRS)
https://jprs.jp/
Copyright (C), 2016 Japan Registry Services Co., Ltd.