JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト

ドメイン名関連会議報告

2016年

Interop Tokyo 2016 JPRS活動報告

2016/06/22

最新のICT技術やソリューションを会場で体験できるイベント「Interop Tokyo 2016」が、6月8日から10日までの3日間にわたり幕張メッセで開催され、JPRSもブース出展を行いました。展示会には307社が出展し、来場者数も14万人を超え、前年を上回る盛況となりました。

JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSに関する情報提供を行いました。今回のFROM JPRSでは、ミニセミナーの内容をお届けします。

Interop Tokyo 2016の様子

Interop Tokyo 2016の様子

JPRSブース ミニセミナー

ミニセミナーでは、ドメイン名・DNSに関する基礎知識に加え、技術情報や業界全体で注目を集めている最新のトピックスについて、コンパクトにまとめた形でご紹介しました。

今回のミニセミナーでは、

  • ドメイン名とDNSの基礎知識
  • DNS関連ホットトピックス
  • 新gTLDの最新動向 ~企業名・ブランド名がTLDで使える時代に~
の三つの話題を取り上げ、それぞれ多くの回で立ち見が出るなど、たくさんの方々にご参加いただきました。

以下、各セミナーの内容をご紹介します。

ドメイン名とDNSの基礎知識

インターネット上の住所に例えられるように、Webサイトやメールアドレスに欠かすことのできないドメイン名。特に、ドメイン名の末尾にある「.jp」や「.com」などの文字列を「トップレベルドメイン(TLD)」と呼びます。セミナーでは、TLDは国や地域に割り当てられた2文字のccTLDと、3文字以上のgTLDとの2種類に大別できること、ICANN(*1)からTLDごとにドメイン名の登録管理を委任された「レジストリ」と呼ばれる組織が存在すること、更に日本に割り当てられた「.jp」のレジストリがJPRSであることなどをご紹介しました。

(*1)
Internet Corporation for Assigned Names and Numbersの略称で、ドメイン名、IPアドレスなどのインターネット資源管理に関する調整を行うために設立された民間の非営利法人です。

また、個人や企業、組織が独自ドメイン名を利用するメリットとして、以下の項目を解説しました。

  • 好きな文字列をドメイン名として利用できるため、Webサイトの内容や、どの企業のメールアドレスであるかを伝えやすくなる
  • アドレスが短く、分かりやすくなる
  • SEO(検索エンジン最適化)に効果的と言われている
  • インターネットプロバイダーを変更しても、アドレス変更の必要がない

次に、ドメイン名とIPアドレスを対応付けるDNS(Domain Name System)の仕組みに関して、Webブラウザーから特定のWebサイトへアクセスする際の流れを例に解説しました。世界で3億件以上存在するドメイン名を管理するために、DNSがルートサーバーから始まる階層構造を取っていることをご紹介しながら、JPRSの管理する「JP DNS」が日本のインターネットにおいてどれだけ重要であるかについても触れ、安定性・安全性を高めるため、国内外の26拠点にサーバーを設置していることをお話ししました。

また、JPRSは「.jp」の登録管理とJP DNSの運用にとどまらず、A~Mまで13系列存在するルートサーバーの一つである「Mルートサーバー」をWIDEプロジェクトと共同運用していること、ドメイン名・DNSに関する技術の標準化や、DNSの運用に携わる方々への情報提供などのさまざまな活動に取り組んでいることをお話ししました。

DNS関連ホットトピックス

最近のDNS関連トピックスの中から、ネットワーク管理者やサーバー運用担当者が特に注意・対応すべき内容として、以下の項目を解説しました。

  • 権威DNSサーバーのゾーン転送設定不備
  • DNSを情報伝達手段として利用するマルウェア
  • 名前衝突による既存の脆弱性の再発
  • ルートゾーンのZSK鍵長変更

▽権威DNSサーバーのゾーン転送設定不備

ゾーン転送は2台の権威DNSサーバー間でゾーンデータを同期するための仕組みで、通常はプライマリサーバーとセカンダリサーバーの間で使われます。JPRSは2016年1月12日、このゾーン転送が意図しない形で実行された場合、悪意を持つ第三者に対してゾーン情報が流出し、セキュリティに対する潜在的なリスクが高まる旨の注意喚起文書を公開しました。

ホスト名とIPアドレスの一覧は、ネットワーク構成や提供サービスの内容を推測するヒントとなり得るため、悪意を持つ第三者にとっては、攻撃対象を定める際の情報源となります。詳細は、以下のURIをご覧ください。

▽DNSを情報伝達手段として利用するマルウェア

botnetをコントロールするC&Cサーバーとの通信や機密情報の抜き取りにDNSを利用する事例が観測されました。従来のIRC、HTTP/HTTPSなどを利用した手法と比較して、次の三つが問題として懸念されています。

  • DNS通信は他の通信手段と異なり、フィルターされていない場合が多い
  • BINDの初期設定ではDNSクエリログが取られておらず、状況把握が難しい
  • 対象の機器が外部と直接通信できない場合も、フルリゾルバー(キャッシュDNSサーバー)を経由して情報を抜き取ることが可能

対策として、クエリログの記録とチェック、いわゆるDNSファイアウォールなどによる不審なDNS問い合わせの検知とフィルタリングが挙げられます。

本件に関し、株式会社ラックと米国FireEye社が具体的な事例を報告していますので、以下URIよりご覧ください。

▽名前衝突による既存の脆弱性の再発

gTLDの増加に伴い、名前衝突による問題の発生が複数報告されています。その一つとして、US-CERTは2016年5月23日、WPADの名前衝突が引き起こす脆弱性に対し、注意喚起文書を公開しました。

WPAD(Web Proxy Auto-Discovery Protocol)は、組織内のWebプロキシサーバーを自動検出・設定するためのプロトコルで、自動検出の際にDNSを使用します。

今回の攻撃手法は、新gTLDプログラムに伴う名前衝突により、本来組織内に閉じた形で運用されるべきWPADのDNSクエリが外部に漏えいすることを悪用したものです。具体的には、外部の攻撃者が、漏えいしたDNSクエリを受信し、不適切な応答を返す権威DNSサーバーをインターネット上に準備することで、不正なプロキシサーバーをWebブラウザーに誤設定させ、中間者攻撃(Man-in-the-Middle Attack)を実行します。

組織内でWPADを運用していない場合は、端末側でWPADの設定を無効にすることで対策が可能です。WPADはMicrosoftのOSであるWindowsと、WebブラウザのIE/Edgeにおいて初期設定で有効になっているため、注意が必要です。

本件に関しては、JVN(Japan Vulnerability Note)が日本語での情報提供を行っていますので、下記URIよりご覧ください。

  • JVNTA#91048063: WPAD と名前衝突の問題
    https://jvn.jp/ta/JVNTA91048063/

    • また、WPAD以外でも、名前衝突に起因する同様の問題が発生する可能性があります。JPRSでは、名前衝突のリスク緩和に関するICANN報告書の解説書を作成、公開していますので、併せてご覧ください。

    • Mitigating the Risk of DNS Namespace Collisions(日本語解説)
      https://jprs.jp/tech/material/2016-04-06-name-collision-mitigation-commentary-ja.pdf

      • ▽ルートゾーンのZSK鍵長変更

      2016年4月1日のDNS-OARC WorkshopでVerisignの担当者から、2016年10月1日のロールオーバーの際にルートゾーンのZSK(Zone Signing Key:ゾーン署名鍵)の鍵長を現在の1024bitから、2048bitに更新する予定であることが発表されました。

      DNSSECの署名鍵には、KSK(Key Signing Key:鍵署名鍵)とZSKの2種類が存在します。ルートゾーンではKSKをICANN、ZSKをVerisignが管理しており、それぞれの現在の鍵長はKSKが2048bit、ZSKが1024bitとなっています。今回のロールオーバーではZSKのみが更新され、KSKは更新されません。

      今回の鍵長変更の背景には、ZSKで使われている1024bitのRSA暗号が米国国立標準技術研究所(NIST)の安全基準を満たさなくなったことが一因としてあるのではないかと推察されています。

      Verisignでは緊急対応のため、従来と同じ1024bitのZSKも生成・準備すること、非常時には旧ZSKへのロールバックを実施する予定であることを併せて発表しています。

      今回のロールオーバーにより、ルートサーバーのDNS応答サイズが増大します。Verisignでは2016年5月6日に、ユーザー側でDNS応答サイズ増大の影響を検証できるテスト用サイトを公開し、問題が解決できない場合には電子メールで連絡してほしい旨を呼び掛けています。

      • DNSSEC Key Size Test
        http://keysizetest.verisignlabs.com/

        • 新gTLDの最新動向 ~企業名・ブランド名がTLDで使える時代に~

        ICANNが2012年に行った分野別トップレベルドメイン(gTLD)の募集には、全世界から1,930件の申請があり、現時点で1,000件を超える新gTLDが委任されています。

        セミナーでは、実際に登録・利用が始まった新gTLDのうち、企業名やブランド名と同じ文字列で申請された「ブランドTLD」に焦点を当て、日本企業からの申請数といった2012年募集時の傾向や、国内外の企業の活用事例を紹介しました。なおJPRSでは、ドメイン名やDNSに関する研究開発を目的として申請したブランドTLD「.jprs」を運用しており、既に国内の通信事業者と共同研究を開始しています。

        また、次回のgTLDの募集は、2012年募集時の申請に対する評価が終了した後に行われる可能性が高いとされています。JPRSでは次回募集に向け、ポリシー策定を行うWGなどに参加する他、インターネットユーザーに向けた最新情報の発信などを行っていく予定です。

        ブランドTLDの申請や運用、最新情報にご興味がありましたら、下記メールアドレスまでご連絡ください。
        tld-info*jprs.co.jp

        スパムメール防止のため、「@」を「*」と表示しております。
        メールを送られる際には、「*」を「@」に直して入力してください。

        JPRS Webで公開中の情報提供資料

        JPRSがセミナーでご紹介した資料や、ブースで配布した資料の一部は、JPRSのWebサイトでも公開しています。下記関連URIからぜひご覧ください。

        関連URI

        本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
        「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。