ドメイン名関連会議報告
2019年
Interop Tokyo 2019 JPRS活動報告
2019/06/27
JPRSは今年も、6月12日から14日までの3日間にわたり幕張メッセで開催された「Interop Tokyo 2019」の展示会にブース出展しました。Interop Tokyo 2019は、最新のICTとそのソリューションを体感できるイベントで、来場者数は昨年を上回る約15万6千人となりました。
JPRSブースでは、ミニセミナーや展示の形式でドメイン名とDNSの基礎知識やセキュリティやサーバー証明書、DNSに対するDDoS攻撃やその対策について情報提供を行いました。
今回のFROM JPRSでは、JPRSブースで開催した以下の三つのミニセミナーの概要をお届けします。今回のミニセミナーでは、ドメイン名とDNSだけでなく、JPRSが2016年4月に提供を開始した「サーバー証明書」に関する話題や、DNSに対するDDoS攻撃とその対策についても取り上げました。
- 1. インターネットでもやっぱり「名前」が大切!ドメイン名とDNSの基礎知識
- 2. インターネットの通信に安全を!押さえておきたいHTTPS化とサーバー証明書の基本
- 3. オリンピックイヤーを控えて、改めて考える DNSに対するDDoS攻撃とその対策
Interop Tokyo 2019の様子
インターネットでもやっぱり「名前」が大切!ドメイン名とDNSの基礎知識
WebサイトのURLやメールアドレスに使われるドメイン名はインターネットの利用に欠かすことのできない「名前」です。ドメイン名の末尾にある「.jp」や「.com」などの文字列「トップレベルドメイン(TLD)」は、国や地域に割り当てられた2文字のccTLDと3文字以上のgTLDに大別できます。
また、TLDごとにICANN[*1]から委任される形でドメイン名の登録管理を行う「レジストリ」と呼ばれる組織が存在します。日本に割り当てられたccTLD「.jp」のレジストリがJPRSです。
- [*1]
- Internet Corporation for Assigned Names and Numbersの略称で、ドメイン名、IPアドレスなどのインターネット資源管理に関する調整を行うために設立された民間の非営利法人です。
https://jprs.jp/glossary/index.php?ID=0028
個人や企業、組織が「△△△.jp」などのドメイン名を独自に登録するメリットとして、以下の項目が挙げられます。
- 好きな文字列をドメイン名として利用できるため、Webサイトの内容や、どの企業のメールアドレスであるかを伝えやすくなる
- アドレスが短く、分かりやすくなる
- サービスプロバイダーを変更しても、アドレス変更の必要がない
そして、DNS(Domain Name System)は、Webサイトにアクセスする際などにドメイン名とIPアドレスの対応付けを行います。世界中に約3億5,000万件存在するドメイン名[*2]の安定運用のため、DNSはルートサーバーから始まる階層構造を取っており、JPRSの管理する「JP DNS」は日本のインターネットにおいて重要な存在です。
- [*2]
- 詳細については以下をご参照ください。
The Verisign Domain Name Industry Brief Q4 2018(VeriSign)
https://www.verisign.com/assets/domain-name-report-Q42018.pdf
JPRSは150万件以上ある「.jp」の登録管理と、JP DNSの運用にとどまらず、A~Mまで13系列存在するルートサーバーの一つである「Mルートサーバー」をWIDEプロジェクトと共同運用しています[*3]。また、ドメイン名・DNSに関する技術の標準化やDNSの運用に携わる方々への情報提供など、さまざまな活動に取り組んでいます。
- [*3]
- ルートサーバーやMルートサーバーについては、以下をご参照ください。
JPRS トピックス&コラム No.6
インターネットの根幹を支える~ルートサーバーの状況とMルートサーバー~
https://jprs.jp/related-info/guide/topics-column/no6.html
インターネットの通信に安全を!押さえておきたいHTTPS化とサーバー証明書の基本
WebサイトのURLの先頭に付いている「http」や「https」。どちらもWebコンテンツを転送する通信手段ですが、「https」の「s」は「Secure(安全)」を表し、「http」で行う通信よりも安全であることを示しています。
「https」が「http」より安全な理由として、大きく2点が挙げられます。
- httpsでやりとりする相手は、信頼のおける第三者機関「認証局[*4]」によって証明されている
- httpsでやりとりする通信は暗号化される
- [*4]
- 認証局の役割については、以下をご参照ください。
JPRS トピックス&コラム No.23
今改めて知っておきたい、サーバー証明書の基礎知識~サーバー証明書の役割とその種類~
https://jprs.jp/related-info/guide/topics-column/no23.html
これらの理由により、「https」の通信では以下のような事態を防ぐことができます。
- 通信相手が本物になりすました偽物だった
- 通信内容を盗聴されてしまった
- 通信内容を違う内容に改ざんされてしまった
具体例として、オンラインショッピングで個人情報を入力する際、第三者が通信を傍受できたとしても、httpsから始まっているURLであれば(HTTPS化されていれば)内容が暗号化されているため、盗聴を防ぐことができます。
また、偽サイトへの誘導やCookieの盗聴などを防ぐため、特定のページだけでなくWebサイト全体をHTTPS化する「常時SSL化[*5]」が進んでいます。主要なWebブラウザーでは、「http」のWebサイトを表示する際、アドレスバーに警告が表示されることがあり、例えばGoogle Chrome 68以降では「保護されていない通信」、Safari 12.1以降では「安全ではありません」と表示されます[*6]。Webサイト訪問者に不安を与える警告を表示させないためにも、Webサイト全体をHTTPS化する常時SSL化が重要です。
- [*5]
- 詳細については以下をご参照ください。
常時SSL化について | JPRS
https://jprs.jp/pubcert/about/aossl/
- [*6]
- 詳細については以下をご参照ください。
iPhone/iPad/Macで「安全ではありません」が表示される理由とその解決方法 | JPRS
https://jprs.jp/pubcert/about/guide/20190513-safari-warning.html
HTTPS化に必要な「サーバー証明書」の設定には、以下の手順が必要です。
- 1. CSR(Certificate Signing Request)の作成[*7]
- 2. サーバー証明書の申し込み
- 3. 認証局による認証手続き[*8]
- 4. サーバー証明書のインストール[*7]
- [*7]
- JPRSサーバー証明書の場合については以下をご参照ください。
設定マニュアル | JPRS
https://jprs.jp/pubcert/service/manual/
- [*8]
- JPRSサーバー証明書の場合については以下をご参照ください。
認証方法について | JPRS
https://jprs.jp/pubcert/service/authentication/
セミナーでは、一部の認証局の証明書が、認証局自身の不手際・不正行為によって無効化された事例をご紹介し、信頼できる認証局のサーバー証明書を選ぶことが大切であると説明しました。
JPRSもサーバー証明書を提供していますので、HTTPS化をお考えの際は、ぜひご検討ください。
https://jprsサーバー証明書.jp/
オリンピックイヤーを控えて、改めて考える DNSに対するDDoS攻撃とその対策
2012年のロンドン大会以降、オリンピックイヤーにおけるサイバー攻撃の増加が報告されています。本セミナーでは来年に迫った東京大会を控え、DNSに対するDDoS攻撃の影響とその対策、JPRSにおける取り組みについて紹介しました。
▽DNSに対するDDoS攻撃とその影響
2016年の8月~9月に国内の複数のサイトにおいて、また、同年10月に北米地域を中心とする複数のネットサービスにおいて発生した、大規模な障害事例を紹介しました。これらはDDoS攻撃により権威DNSサーバーがサービス不能に陥ったことで引き起こされたもので、権威DNSサーバーのサービスダウンが、さまざまなネットサービスの提供・利用に、多大な影響を及ぼしました。
DNSには権威DNSサーバー、フルリゾルバー(キャッシュDNSサーバー)、フォワーダー/スタブリゾルバーの三つの構成要素があります。それらのうち権威DNSサーバーが狙われてサービスが提供できなくなると、そのサーバーが管理するすべてのドメイン名に影響が及びます。
また、DNSを攻撃する目的にはDDoS攻撃のようにDNSを機能停止させてサービスを使えなくするもののほか、偽のDNSデータを使わせて偽サイトに誘導する、攻撃の手段として踏み台にし、他者を攻撃する、データを不正入手してスキャンに利用するなど、さまざまなものがあります。
権威DNSサーバーに対するDDoS攻撃にフォーカスするとともに、攻撃対策を考える場合、攻撃の対象と目的に応じた有効な対策を考え、実施する必要があります。
▽DDoS攻撃に対する有効な対策
DDoS攻撃対策の基本的な考え方として「攻撃に耐える」と「攻撃をかわす」の二つがあります。
「攻撃に耐える」は、処理能力やネットワーク帯域を強化したり新たな技術・サービスを導入したりすることで、攻撃に対する耐久力を向上させるものです。DNSにおける具体的な対策として、以下のものが挙げられます。
- 処理能力の強化
- 処理能力の高いサーバーの準備
- 負荷分散装置の導入 - 帯域の強化
- ネットワークの帯域の増強
- 複数のネットワーク回線の準備 - 技術・サービスの導入
- IP Anycast[*9]の導入
- 外部DNSサービスの利用
- [*9]
- IP Anycastの詳細は、JPRS用語辞典をご参照ください。
https://jprs.jp/glossary/index.php?ID=0108
一方、「攻撃をかわす」は、攻撃を早期に検出したり攻撃トラフィックを制限・緩和したりすることで、攻撃そのものの影響を軽減するものです。DNSにおける具体的な対策として、以下のものが挙げられます。
- 攻撃検出機構の導入・運用
- 利用状況の監視
- 攻撃発生の速やかな検出
- 攻撃に対応可能な体制の確立 - 攻撃トラフィックの制限
- トラフィック制限の事前適用 - 攻撃トラフィックの緩和
- DDoS対策サービスの利用
▽JPRSの取り組み
JPRSでは登録システムとJP DNSサーバーに対し、DDoS攻撃対策を実施しています。
「攻撃に耐える」対策として、サーバーの増強や負荷分散装置の導入による性能強化やネットワーク帯域の増強を継続的に実施しています。また、JP DNSにおいて2004年からIP Anycastを運用しており、世界中の26拠点でサービスを提供しています。
また「攻撃をかわす」対策として、早期攻撃検知機構を構築し、集中監視センターにおいて、24時間365日の有人監視を実施しており、攻撃トラフィックの制限/緩和も適宜実施しています。
JPRSのWebサイトで公開中の情報提供資料
JPRSブースで配布した資料の一部は、JPRSのWebサイトでも公開しています。以下のURIからぜひご覧ください。また、最新情報をソーシャルメディアのJPRS公式アカウントより随時配信しておりますので、こちらもご確認ください。
https://jprs.jp/sns.html
JPRS DNS 関連技術情報
https://jprs.jp/tech/- ドメイン名やDNSの解説コラム「JPRS トピックス&コラム」
https://jprs.jp/related-info/guide/ - JPドメイン名レジストリレポート
https://jprs.jp/about/report/ - ドメイン名やDNSなどに関する用語辞典
https://jprs.jp/glossary/ - ポン太のネットの大冒険~楽しくわかるインターネットのしくみ~
https://jprs.jp/related-info/study/ - 「co.jp」のドメイン名を会社のホームページ・メールアドレスに。
https://nippon-kigyo.jp/ - 安心と信頼のJPRSサーバー証明書
https://jprsサーバー証明書.jp/ - サーバー証明書発行サービス
https://jprs.jp/pubcert/ - ドメインまるわかり.jp
https://ドメインまるわかり.jp/
- 関連URI
-
Interop Tokyo 2019
https://www.interop.jp/
-
本会議報告は、JPRSのメールマガジン「FROM JPRS」の増刊号として発行した情報に写真などを交えてWebページ化したものです。
「FROM JPRS」にご登録いただいた皆さまには、いち早く情報をお届けしております。ぜひご登録ください。
