Interop Tokyo 2018 JPRS活動報告

JPRSは今年も、6月13日から15日までの3日間にわたり幕張メッセで開催された「Interop Tokyo 2018」の展示会にブース出展しました。Interop Tokyo 2018は、最新のICTとそのソリューションを体感できるイベントで、来場者数は昨年を上回る約14万4千人となりました。

JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSの基礎知識や最新のトピックス、セキュリティやサーバー証明書に関する情報提供を行いました。

今回のFROM JPRSでは、JPRSブースで開催した、以下の三つのミニセミナーの概要をお届けします。今回のミニセミナーでは、ドメイン名とDNSだけでなく、JPRSが2016年4月に提供を開始した「サーバー証明書」に関する話題についても積極的に取り上げました。

1. 1. インターネットでもやっぱり「名前」が大切！ドメイン名とDNSの基礎知識
2. 2. インターネットの通信に安全を！押さえておきたいHTTPS化とサーバー証明書の基本
3. 3. セキュリティの観点から見たDNSとサーバー証明書の関係と最近のインシデント事例

WebサイトのURLやメールアドレスに使われるドメイン名。ドメイン名はインターネットの利用に欠かすことのできない「名前」です。特に、ドメイン名の末尾にある「.jp」や「.com」などの文字列を「トップレベルドメイン（TLD）」と呼びます。

セミナーでは、TLDは以下の2種類に大別できることをご紹介しました。

• 国や地域に割り当てられた2文字のccTLD
• 3文字以上のgTLD

また、TLDごとにICANN（*1）から委任される形でドメイン名の登録管理を行う「レジストリ」と呼ばれる組織が存在すること、更に日本に割り当てられた「.jp」のレジストリがJPRSであることなどをご紹介しました。

また、個人や企業、組織が「△△△.jp」などのドメイン名を独自に登録するメリットとして、以下の項目を解説しました。

• 好きな文字列をドメイン名として利用できるため、Webサイトの内容や、どの企業のメールアドレスであるかを伝えやすくなる
• アドレスが短く、分かりやすくなる
• サービスプロバイダーを変更しても、アドレス変更の必要がない

次に、ドメイン名とIPアドレスの対応付けを行うDNS（Domain Name System）について、Webサイトにアクセスする場合の流れを例にご説明しました。また、世界中に約3億3,000万件存在するドメイン名（*2）の安定運用のため、DNSがルートサーバーから始まる階層構造を取っていることや、JPRSの管理する「JP DNS」が日本のインターネットにおいて重要な存在であることについても触れました。

また、JPRSは150万件以上ある「.jp」の登録管理と、JP DNSの運用にとどまらず、A～Mまで13系列存在するルートサーバーの一つである「Mルートサーバー」をWIDEプロジェクトと共同運用していること（*3）、ドメイン名・DNSに関する技術の標準化や、DNSの運用に携わる方々への情報提供など、さまざまな活動に取り組んでいることをご紹介しました。

WebサイトのURLの先頭に付いている「http」や「https」。どちらもWebコンテンツを転送する通信手段ですが、「https」の「s」は「Secure（安全）」を表し、「http」で行う通信よりも安全であることを示しています。

セミナーでは、「https」が「http」より安全な理由として、大きく2点を挙げました。

• httpsでやりとりする相手は、信頼のおける第三者機関「認証局（*4）」によって証明されている
• httpsでやりとりする通信は暗号化される

これらの理由により、「https」の通信では以下のような事態を防ぐことができます。

• 通信相手が本物になりすました偽物だった
• 通信内容を盗聴されてしまった
• 通信内容を違う内容に改ざんされてしまった

具体例として、オンラインショッピングで個人情報を入力する際、第三者が通信を傍受できたとしても、httpsから始まっているURLであれば（HTTPS化されていれば）内容が暗号化されているため、盗聴を防ぐことができるとご説明しました。

また、偽サイトへの誘導やCookieの盗聴などを防ぐため、特定のページだけでなくWebサイト全体をHTTPS化する「常時SSL化（*5）」が進んでいることについても触れました。特に主要なWebブラウザーの一つであるGoogle Chromeでは、2018年7月にリリース予定のChrome 68以降、HTTPS化されていないページに警告を表示することをアナウンスしています。
https://developers-jp.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html

次に、HTTPS化に必要な「サーバー証明書」の設定方法について、以下の順にご説明しました。

1. 1. CSR（Certificate Signing Request）の作成（*6）
2. 2. サーバー証明書の申し込み
3. 3. 認証局による認証手続き（*7）
4. 4. サーバー証明書のインストール（*6）

最後に、一部の認証局の証明書が、認証局自身の不手際・不正行為によって無効化された事例をご紹介し、信頼できる認証局のサーバー証明書を選ぶことが大切であるとお話ししました。

JPRSもサーバー証明書を提供していますので、HTTPS化をお考えの際は、ぜひご検討ください。
https://jprsサーバー証明書.jp/

インターネットに欠かせない重要な存在であるDNSとサーバー証明書について、セキュリティの観点から見たそれぞれの関係と、DNSとサーバー証明書の双方が同時に狙われ、HTTPS化された通信が攻撃された最近の事例について解説しました。

▽セキュリティの観点から見たDNSとサーバー証明書の関係

DNSとサーバー証明書の関係について、サーバー証明書が発行される際と利用される際の二つのケースに分けて解説しました。

• サーバー証明書の「発行」
  サーバー証明書の発行を認証局に申請する際に、Webサーバー管理者はDNSを設定しておく必要があります（DNS認証、CAAレコードによる発行制御）。
  また、メール認証やファイル認証の際にも間接的にDNSが用いられます。
  
  いずれも、そのドメイン名のDNS設定が正しいことが前提となるため、DNSの信頼性が発行される証明書の信頼性に直接影響します。
  
• サーバー証明書の「利用」
  Webサイトへアクセスする際、DNSはWebサーバーとの通信前に、サーバー証明書は通信時に利用されます。DNSはWebサイトに接続するためのIPアドレスの情報をクライアントに案内し、サーバー証明書は、クライアントとWebサーバー間の通信を保護します（HTTPS化）。
  
  いずれも、安全な通信の実現のためには欠かせないものです。
  

▽HTTPS化された通信に対する最近のインシデント事例

HTTPS化された通信に対する攻撃は、DNSと証明書の双方への攻撃を成功させる必要があります。本セミナーでは、攻撃手法の例として以下の二つを挙げ、それぞれの手法が利用された最近のインシデント事例を紹介しました。

• 中間者攻撃（man-in-the-middle attack）
  通信する二者間に第三者が割り込み、通信を盗聴したり通信に介入したりする手法
  https://jprs.jp/glossary/index.php?ID=0229


• なりすまし（spoofing）
  正当な通信先になりすまして、通信相手をだます手法

▽中間者攻撃の事例：Fox-ITへの攻撃（2017年9月発生）

オランダの大手セキュリティ企業であるFox-ITの顧客向けポータルサイトが中間者攻撃を受け、アカウント情報の一部が流出してしまった事例について、攻撃者は以下の手順により攻撃を成功させたと報告されています。

1. 1. fox-it.comのレジストラのアカウントに不正アクセス
       （ドメイン名ハイジャックによりDNS設定の書き換え権限を不正入手）
       https://jprs.jp/glossary/index.php?ID=0208
2. 2. メール関連のDNS設定を書き換え、正規の手順で証明書を不正発行     （認証局が提供するメール認証を利用）
3. 3. 不正発行された証明書を、攻撃者が立ち上げた偽サイトに設定
4. 4. DNS設定を書き換え、顧客のアクセスを偽サイトに誘導

この事例の影響が致命的である理由として、以下の二つを挙げました。

• URLがhttpsで始まっており、ドメイン名も正しいが、接続相手は偽サイト
• DNSと証明書の双方への攻撃が成功しているため、Webブラウザーが警告を表示しない

▽なりすまし（spoofing）の事例：MaMi（2018年1月発生）

MaMiはmacOSを標的とするマルウェアで、Webページ上のターゲティング広告を差し替え、不適切な広告を表示させることが目的であったと言われています。

MaMiはOSのDNS設定とルート証明書ストア（*8）の双方を書き換えることで、偽広告サーバーへのHTTPSアクセスを実現します。

1. 1. リゾルバーのIPアドレスを、攻撃者が準備したものに変更
2. 2. 偽広告サーバーに設定された証明書に対応するルート証明書を、ルート証明書ストアに追加

▽有効な対策

最後に、DNS・サーバー証明書・利用者、という三つの観点から、それぞれ有効な対策を紹介しました。

• DNSの対策
  攻撃手法自体は目新しいものではないため、既存の対策をきちんと実施することが有効です。具体的には、ドメイン名ハイジャック対策としてNSレコード設定状況の監視や、レジストリロックの活用を、DNS設定不正書き換え対策としてアンチウイルスソフトの導入や、不審な通信の検知などを挙げました。
  
• サーバー証明書の対策
  Webブラウザーに警告を表示させるための対策として、HPKP（HTTP Public Key Pinning）とCT（Certificate Transparency）についてご紹介しました。HPKPは、サーバー証明書の公開鍵が前回のアクセス時と変わっていた場合に警告を表示する仕組みですが、運用上の副作用とCTへの移行のため、Chrome 67では非推奨とされています。CTは、Googleが提案している仕組みで（*9）、認証局がサーバー証明書の発行状況を、広く公開されるCTログサーバーに登録するものです。サーバー証明書のCT登録を確認できなかった場合に警告が表示されます。
• 利用者の対策
  Webブラウザーが表示する警告を無視して進まないこと、サイトシールが貼られている場合はその内容を確認すること、最終的には利用者のリテラシー向上が重要であることなどを挙げました。

JPRSブースで配布した資料の一部は、JPRSのWebサイトでも公開しています。以下のURIからぜひご覧ください。また、最新情報をソーシャルメディアのJPRS公式アカウントより随時配信しておりますので、こちらもご確認ください。
https://jprs.jp/sns.html

• JPRS DNS 関連技術情報
  https://jprs.jp/tech/
• ドメイン名やDNSの解説コラム「JPRS トピックス&コラム」
  https://jprs.jp/related-info/guide/
• JPドメイン名レジストリレポート
  https://jprs.jp/about/report/
• ドメイン名やDNSなどに関する用語辞典
  https://jprs.jp/glossary/
• ポン太のネットの大冒険～楽しくわかるインターネットのしくみ～
  https://jprs.jp/related-info/study/
• 「co.jp」のドメイン名を会社のホームページ・メールアドレスに。
  http://nippon-kigyo.jp/
• 安心と信頼のJPRSサーバー証明書
  https://JPRSサーバー証明書.jp/
• サーバー証明書発行サービス
  https://jprs.jp/pubcert/
• ドメインまるわかり.jp
  http://ドメインまるわかり.jp/

本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。