JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


ドメイン名関連会議報告

2008年

ドメイン名とDNS運用に関する動向

~ ICANNニューデリー会合における話題を中心に ~

2008/03/27

第31回となるICANN会合が2008年2月10日から2月15日にかけて、インドのニューデリーで開催されました。

今回のFROM JPRSでは今回のICANN会合でとりあげられた内容を中心に、最近のICANNにおける動きの中から、ドメイン名とDNS運用に関する技術的な話題についてご紹介します。

ICANN会合の様子
ICANN会合の様子

IDN TLD技術評価試験の進行状況

ICANNでは2007年10月15日に、IDN TLDに関する技術評価試験を開始しました。

ICANNが2007年10月15日に開始したIDN TLDの技術評価試験は、IDN TLDを含むドメイン名の各アプリケーションにおける動作確認を目的に、現在も検証作業が続けられています。

その一環として、ICANNからの依頼を受けたスウェーデンのAutonomica社(*1)により進められていた、実際のインターネット環境におけるルートサーバとDNSキャッシュサーバの動作検証試験の結果が、2008年1月31日、ICANNから一般に公開されました。

この試験は、いくつかのバージョンのBINDとMicrosoft DNS ServerをDNSキャッシュサーバとして使い、インターネット上でIDN TLDを含むドメイン名の検索を実際に行った際、ルートサーバとDNSキャッシュサーバの動作にどのような影響があるかを検証したものです。結果によると、IDN TLDの追加はDNSサーバの動作に特に影響はなく、問題は起こらなかったとのことでした。

今回の会合では、現在、日本語を含む11の言語において進められているIDN TLDの技術評価試験に、新たにアムハラ語(エチオピアの公用語)が追加される予定であること、また必要に応じて他の言語も追加する用意があることが報告されました(*2)。ただし、今回の試験で利用される言語の全てがIDN TLDとして正式採用されるわけではないことも、併せて再確認されました。

また、既に実施しているWikiによるWebのテストに加え、メールアドレスのテストも近日中に開始される見込みで、会議終了後にはテストのためのWebページが公開されました(本メール末尾の「関連URI」を参照)。

メールアドレスのローカルパート(@の左側)を含む完全な国際化については、IETFでの今後の標準化作業の進捗に合わせた形で、進められていくことになります。

なお、同じくIETFで検討が続けられている、電子メールの国際化に関する標準化については、2007年12月25日付FROM JPRS「DNSの管理運用と電子メールの国際化における技術動向」をご参照ください。

(*1)
Autonomica社はデンマークのNORDUnetと共同で、ルートサーバの一つであるI.root-servers.netを運用しています。
(*2)
2008年3月19日(米国時間)に、アムハラ語とヘブライ語が追加されました。

DNSSECに関する話題

スウェーデンのレジストリである.SE(The Internet Infrastructure Foundation)から、世界に先駆けた形でDNSSECの正式運用を開始した.seドメイン名における、この1年間のDNSSECの運用状況が報告されました。

報告では、DNSSECの運用の際に発生した障害事例や、今後解決すべき課題に関する情報共有と議論が行われました。主な報告内容について以下にまとめます。

  1. 一部のブロードバンドルータにおいて、DNSSECに対応したDNSパケットの処理に関する不具合が発見された
  2. あるISPのDNSキャッシュサーバにおける.seゾーンの鍵更新(*3)の際に、誤って新しい方の鍵をDNSキャッシュサーバから削除してしまう事故が発生した。このためそのISPのDNSキャッシュサーバで、.seゾーンのDNSSECによる名前検証が一時的にできなくなった(改めて新しい鍵をDNSキャッシュサーバに設定し直すことにより復旧)
  3. 主要ISPにおいてDNSSECを利用したサービスを開始する計画がある。しかし、DNSSECを利用したクライアントアプリケーションの普及はまだ進んでいない
  4. zone walking(DNSSECの仕組みを利用し、あるドメイン名の中に存在する名前だけをアルファベット順にたどることで、実在する全ての名前情報を外部から入手する行為)が散発的に観察された

なお、zone walkingの問題を解決するためのプロトコルであるNSEC3がRFC 5155として、2008年3月に標準化されました(*4)。DNSSECの普及促進には今後もさまざまな努力と問題解決が必要になりますが、zone walkingの問題が技術的に解決されたことは、今後のDNSSEC普及を図る上で大きな前進となるでしょう。

(*3)
DNSSECの鍵更新では全ての鍵が無効になってしまうことを防ぐため、該当ゾーンの古い鍵の有効期間が残っている間に新しい鍵を登録し、その後古い鍵を削除します。
(*4)
.SEにおけるDNSSECの導入は、NSEC3ではなくzone walkingが可能な従来のNSEC方式で行われています。
DNSSECに関する話題も
DNSSECに関する話題も


SSACにおける話題

SSAC(Security and Stability Advisory Committee)は、ICANNに設置された諮問委員会の一つで、セキュリティと安定性に関する問題について、ICANNコミュニティおよびICANN理事会に対して助言を行っています。

ここではSSACの場で最近取り上げられている話題の中から「ドメイン名フロントランニング(Domain Name Front Running)」についてご紹介します。

ドメイン名フロントランニング

「フロントランニング(Front Running)」とは本来、株取引等において仲介業者(証券会社)の役職員が、顧客から受けた売買注文を成立させる前に同一銘柄の注文を先に出すことで不正な利益を得ようとする行為をいいます。なお、証券市場におけるフロントランニングは、日本や米国をはじめとする主な国の証券取引法において禁止されています。

通常、ドメイン名を登録しようとする場合、登録者は目的のドメイン名が既に登録されていないかどうか、事前にさまざまな方法でチェックします。その際に「WHOIS検索されたドメイン名情報」や「DNS検索されたドメイン名情報」などを利用し、ユーザが興味を持っているドメイン名を先回りして登録することで不正な利益を得ようとする行為が「ドメイン名フロントランニング」と呼ばれるものです。

SSACでは2007年10月に公開した勧告(SAC 022)において、ドメイン名フロントランニングに悪用される可能性があるものとして、以下を挙げています。

  • WHOIS検索をサポートするクライアントソフトウェア
  • サードパーティ等が提供するWHOISポータルサイト
  • DNSやWHOIS検索を覗くマルウェア
  • DNSサーバのオペレータ
  • レジストラ
  • ネームスピナー(*5)
  • レジストリ
  • 情報の漏えい、ソーシャルエンジニアリング

(*5)
入力された名前について、さまざまなTLDにおける登録可能性を並列的に調べ、表示するサービスをいいます。

また、SSACではSAC 022において、ドメイン名フロントランニングと考えられる事例を募集しました。調査結果は2008年2月にレポート(SAC 024)として公開されています。

SSACではドメイン名登録に関係するすべての関係者に対し、ドメイン名フロントランニング行為と疑われることを防止するため、登録者へのわかりやすい情報提供、および登録者から出される登録可能性のチェックや登録の試行、ドメイン名の更新等に関するリクエストの円滑かつ明確な遂行を呼び掛けています。

本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。