JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

メールマガジン「FROM JPRS」

バックナンバー:vol.176

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━2018/06/28━
                    ◆ FROM JPRS 増刊号 vol.176 ◆
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
___________________________________

 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
                   Interop Tokyo 2018 JPRS活動報告
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

JPRSは今年も、6月13日から15日までの3日間にわたり幕張メッセで開催された
「Interop Tokyo 2018」の展示会にブース出展しました。Interop Tokyo 2018
は、最新のICTとそのソリューションを体感できるイベントで、来場者数は昨
年を上回る約14万4千人となりました。

JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSの基礎知識や
最新のトピックス、セキュリティやサーバー証明書に関する情報提供を行いま
した。

今回のFROM JPRSでは、JPRSブースで開催した、以下の三つのミニセミナーの
概要をお届けします。今回のミニセミナーでは、ドメイン名とDNSだけでなく、
JPRSが2016年4月に提供を開始した「サーバー証明書」に関する話題について
も積極的に取り上げました。

  1. インターネットでもやっぱり「名前」が大切!
     ドメイン名とDNSの基礎知識
  2. インターネットの通信に安全を!
     押さえておきたいHTTPS化とサーバー証明書の基本
  3. セキュリティの観点から見た
     DNSとサーバー証明書の関係と最近のインシデント事例

           ◇                     ◇                     ◇


■インターネットでもやっぱり「名前」が大切!
  ドメイン名とDNSの基礎知識

WebサイトのURLやメールアドレスに使われるドメイン名。ドメイン名はイン
ターネットの利用に欠かすことのできない「名前」です。特に、ドメイン名
の末尾にある「.jp」や「.com」などの文字列を「トップレベルドメイン
(TLD)」と呼びます。

セミナーでは、TLDは以下の2種類に大別できることをご紹介しました。

  ・国や地域に割り当てられた2文字のccTLD
  ・3文字以上のgTLD

また、TLDごとにICANN(*1)から委任される形でドメイン名の登録管理を行う
「レジストリ」と呼ばれる組織が存在すること、更に日本に割り当てられた
「.jp」のレジストリがJPRSであることなどをご紹介しました。

(*1)Internet Corporation for Assigned Names and Numbersの略称で、ド
      メイン名、IPアドレスなどのインターネット資源管理に関する調整を行
      うために設立された民間の非営利法人です。
      https://jprs.jp/glossary/index.php?ID=0028

また、個人や企業、組織が「△△△.jp」などのドメイン名を独自に登録する
メリットとして、以下の項目を解説しました。

  ・好きな文字列をドメイン名として利用できるため、Webサイトの内容や、
    どの企業のメールアドレスであるかを伝えやすくなる
  ・アドレスが短く、分かりやすくなる
  ・サービスプロバイダーを変更しても、アドレス変更の必要がない

次に、ドメイン名とIPアドレスの対応付けを行うDNS(Domain Name System)
について、Webサイトにアクセスする場合の流れを例にご説明しました。また、
世界中に約3億3,000万件存在するドメイン名(*2)の安定運用のため、DNSが
ルートサーバーから始まる階層構造を取っていることや、JPRSの管理する「JP
DNS」が日本のインターネットにおいて重要な存在であることについても触れ
ました。

(*2)詳細については以下をご参照ください。
      The Verisign Domain Name Industry Brief Q4 2017(VeriSign)
      https://www.verisign.com/assets/domain-name-report-Q42017.pdf

また、JPRSは150万件以上ある「.jp」の登録管理と、JP DNSの運用にとどまら
ず、A~Mまで13系列存在するルートサーバーの一つである「Mルートサーバー」
をWIDEプロジェクトと共同運用していること(*3)、ドメイン名・DNSに関す
る技術の標準化や、DNSの運用に携わる方々への情報提供など、さまざまな活
動に取り組んでいることをご紹介しました。

(*3)ルートサーバーやMルートサーバーについては、以下をご参照ください。
      JPRS トピックス&コラム No.6
      インターネットの根幹を支える~ルートサーバーの状況とMルートサー
      バー~
      https://jprs.jp/related-info/guide/006.pdf

■インターネットの通信に安全を!
  押さえておきたいHTTPS化とサーバー証明書の基本

WebサイトのURLの先頭に付いている「http」や「https」。どちらもWebコンテ
ンツを転送する通信手段ですが、「https」の「s」は「Secure(安全)」を表
し、「http」で行う通信よりも安全であることを示しています。

セミナーでは、「https」が「http」より安全な理由として、大きく2点を挙げ
ました。

  ・httpsでやりとりする相手は、信頼のおける第三者機関「認証局(*4)」
    によって証明されている
  ・httpsでやりとりする通信は暗号化される

(*4)認証局の役割については、以下をご参照ください。
      JPRS トピックス&コラム No.23
      今改めて知っておきたい、サーバー証明書の基礎知識~サーバー証明書
      の役割とその種類~
      https://jprs.jp/related-info/guide/023.pdf

これらの理由により、「https」の通信では以下のような事態を防ぐことがで
きます。

  ・通信相手が本物になりすました偽物だった
  ・通信内容を盗聴されてしまった
  ・通信内容を違う内容に改ざんされてしまった

具体例として、オンラインショッピングで個人情報を入力する際、第三者が通
信を傍受できたとしても、httpsから始まっているURLであれば(HTTPS化され
ていれば)内容が暗号化されているため、盗聴を防ぐことができるとご説明し
ました。

また、偽サイトへの誘導やCookieの盗聴などを防ぐため、特定のページだけで
なくWebサイト全体をHTTPS化する「常時SSL化(*5)」が進んでいることにつ
いても触れました。特に主要なWebブラウザーの一つであるGoogle Chromeでは、
2018年7月にリリース予定のChrome 68以降、HTTPS化されていないページに警
告を表示することをアナウンスしています。
https://developers-jp.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

(*5)詳細については以下をご参照ください。
      常時SSL化について | JPRS
      https://jprs.jp/pubcert/about/aossl/

次に、HTTPS化に必要な「サーバー証明書」の設定方法について、以下の順に
ご説明しました。

  1. CSR(Certificate Signing Request)の作成(*6)
  2. サーバー証明書の申し込み
  3. 認証局による認証手続き(*7)
  4. サーバー証明書のインストール(*6)

(*6)JPRSサーバー証明書の場合については以下をご参照ください。
      設定マニュアル | JPRS
      https://jprs.jp/pubcert/service/manual/

(*7)JPRSサーバー証明書の場合については以下をご参照ください。
      認証方法について | JPRS
      https://jprs.jp/pubcert/service/authentication/

最後に、一部の認証局の証明書が、認証局自身の不手際・不正行為によって無
効化された事例をご紹介し、信頼できる認証局のサーバー証明書を選ぶことが
大切であるとお話ししました。

JPRSもサーバー証明書を提供していますので、HTTPS化をお考えの際は、ぜひ
ご検討ください。
https://jprsサーバー証明書.jp/

■セキュリティの観点から見た
  DNSとサーバー証明書の関係と最近のインシデント事例

インターネットに欠かせない重要な存在であるDNSとサーバー証明書について、
セキュリティの観点から見たそれぞれの関係と、DNSとサーバー証明書の双方
が同時に狙われ、HTTPS化された通信が攻撃された最近の事例について解説し
ました。

▽セキュリティの観点から見たDNSとサーバー証明書の関係

DNSとサーバー証明書の関係について、サーバー証明書が発行される際と利用
される際の二つのケースに分けて解説しました。

  ・サーバー証明書の「発行」
    サーバー証明書の発行を認証局に申請する際に、Webサーバー管理者はDNS
    を設定しておく必要があります(DNS認証、CAAレコードによる発行制御)。
    また、メール認証やファイル認証の際にも間接的にDNSが用いられます。

    いずれも、そのドメイン名のDNS設定が正しいことが前提となるため、DNS
    の信頼性が発行される証明書の信頼性に直接影響します。

  ・サーバー証明書の「利用」
    Webサイトへアクセスする際、DNSはWebサーバーとの通信前に、サーバー
    証明書は通信時に利用されます。DNSはWebサイトに接続するためのIPアド
    レスの情報をクライアントに案内し、サーバー証明書は、クライアントと
    Webサーバー間の通信を保護します(HTTPS化)。

    いずれも、安全な通信の実現のためには欠かせないものです。

▽HTTPS化された通信に対する最近のインシデント事例

HTTPS化された通信に対する攻撃は、DNSと証明書の双方への攻撃を成功させる
必要があります。本セミナーでは、攻撃手法の例として以下の二つを挙げ、そ
れぞれの手法が利用された最近のインシデント事例を紹介しました。

  ・中間者攻撃(man-in-the-middle attack)
    通信する二者間に第三者が割り込み、通信を盗聴したり通信に介入したり
    する手法
    https://jprs.jp/glossary/index.php?ID=0229

  ・なりすまし(spoofing)
    正当な通信先になりすまして、通信相手をだます手法

▽中間者攻撃の事例:Fox-ITへの攻撃(2017年9月発生)

オランダの大手セキュリティ企業であるFox-ITの顧客向けポータルサイトが中
間者攻撃を受け、アカウント情報の一部が流出してしまった事例について、攻
撃者は以下の手順により攻撃を成功させたと報告されています。

  1. fox-it.comのレジストラのアカウントに不正アクセス
     (ドメイン名ハイジャックによりDNS設定の書き換え権限を不正入手)
     https://jprs.jp/glossary/index.php?ID=0208
  2. メール関連のDNS設定を書き換え、正規の手順で証明書を不正発行
     (認証局が提供するメール認証を利用)
  3. 不正発行された証明書を、攻撃者が立ち上げた偽サイトに設定
  4. DNS設定を書き換え、顧客のアクセスを偽サイトに誘導

この事例の影響が致命的である理由として、以下の二つを挙げました。

  ・URLがhttpsで始まっており、ドメイン名も正しいが、接続相手は偽サイト
  ・DNSと証明書の双方への攻撃が成功しているため、Webブラウザーが警告を
    表示しない

▽なりすまし(spoofing)の事例:MaMi(2018年1月発生)

MaMiはmacOSを標的とするマルウェアで、Webページ上のターゲティング広告を
差し替え、不適切な広告を表示させることが目的であったと言われています。

MaMiはOSのDNS設定とルート証明書ストア(*8)の双方を書き換えることで、
偽広告サーバーへのHTTPSアクセスを実現します。

  1. リゾルバーのIPアドレスを、攻撃者が準備したものに変更
  2. 偽広告サーバーに設定された証明書に対応するルート証明書を、ルート
     証明書ストアに追加

(*8)信頼の連鎖の起点となるルート証明書の置き場所で、各利用者のPCやス
      マートフォンなどの内部に存在します。

▽有効な対策

最後に、DNS・サーバー証明書・利用者、という三つの観点から、それぞれ有
効な対策を紹介しました。

  ・DNSの対策
    攻撃手法自体は目新しいものではないため、既存の対策をきちんと実施す
    ることが有効です。具体的には、ドメイン名ハイジャック対策としてNSレ
    コード設定状況の監視や、レジストリロックの活用を、DNS設定不正書き
    換え対策としてアンチウイルスソフトの導入や、不審な通信の検知などを
    挙げました。

  ・サーバー証明書の対策
    Webブラウザーに警告を表示させるための対策として、HPKP(HTTP Public
    Key Pinning)とCT(Certificate Transparency)についてご紹介しまし
    た。HPKPは、サーバー証明書の公開鍵が前回のアクセス時と変わっていた
    場合に警告を表示する仕組みですが、運用上の副作用とCTへの移行のため、
    Chrome 67では非推奨とされています。CTは、Googleが提案している仕組
    みで(*9)、認証局がサーバー証明書の発行状況を、広く公開されるCTロ
    グサーバーに登録するものです。サーバー証明書のCT登録を確認できな
    かった場合に警告が表示されます。

  ・利用者の対策
    Webブラウザーが表示する警告を無視して進まないこと、サイトシールが
    貼られている場合はその内容を確認すること、最終的には利用者のリテラ
    シー向上が重要であることなどを挙げました。

(*9)2018年7月リリース予定のChrome 68では、2018年4月30日以降に発行さ
      れたすべてのサーバー証明書についてCT対応が必須化される予定です。

■JPRSのWebサイトで公開中の情報提供資料

JPRSブースで配布した資料の一部は、JPRSのWebサイトでも公開しています。
以下のURIからぜひご覧ください。また、最新情報をソーシャルメディアの
JPRS公式アカウントより随時配信しておりますので、こちらもご確認ください。
https://jprs.jp/sns.html

  ○JPRS DNS 関連技術情報
  |https://jprs.jp/tech/

  ○ドメイン名やDNSの解説コラム「JPRS トピックス&コラム」
  |https://jprs.jp/related-info/guide/

  ○JPドメイン名レジストリレポート
  |https://jprs.jp/about/report/

  ○ドメイン名やDNSなどに関する用語辞典
  |https://jprs.jp/glossary/

  ○ポン太のネットの大冒険~楽しくわかるインターネットのしくみ~
  |https://jprs.jp/related-info/study/

  ○「co.jp」のドメイン名を会社のホームページ・メールアドレスに。
  |http://nippon-kigyo.jp/

  ○安心と信頼のJPRSサーバー証明書
  |https://jprsサーバー証明書.jp/

  ○サーバー証明書発行サービス
  |https://jprs.jp/pubcert/

  ○ドメインまるわかり.jp
  |http://ドメインまるわかり.jp/

           ◇                     ◇                     ◇
 
◎関連URI

  - Interop Tokyo 2018
    https://www.interop.jp/

━━━━━━━━━━━━━━━━━━━━━━━━━━━【FROM JPRS】━
■会議報告:https://jprs.jp/related-info/event/
■配信先メールアドレスなどの変更:https://jprs.jp/mail/henkou.html
■バックナンバー:https://jprs.jp/mail/backnumber/
■ご意見・ご要望:from@jprs.jp

当メールマガジンは、Windowsをお使いの方はMSゴシック、macOSをお使いの方
はOsaka等幅などの「等幅フォント」で最適にご覧いただけます。

当メールマガジンの全文または一部の文章をWebサイト、メーリングリスト、
ニュースグループ、他のメディアなどへ許可なく転載することを禁止します。
また、当メールマガジンには第三者のサイトへのリンクが含まれていますが、
リンク先のサイトの内容などについては、JPRSの責任の範囲外であることに
ご注意ください。
その他、ご利用に当たっての注意事項は読者登録規約にてご確認ください。
https://jprs.jp/mail/kiyaku.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集・発行:株式会社日本レジストリサービス(JPRS)
https://jprs.jp/
Copyright (C), 2018 Japan Registry Services Co., Ltd.