このページの本文へ

DNSキャッシュポイズニング対策の切り札

JPドメイン名へのDNSSEC導入、2011年1月に決定

2010年07月23日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 7月21日、JPRSはJPドメイン名サービスへのDNSSECを2011年1月に行なうと発表した。DNSSECは「DNS Security Extensions」の略で、DNSサーバーからの応答に対して公開鍵暗号方式による電子署名を付与する技術。これにより、DNSのキャッシュを悪用して別のアドレスに誘導するDNSキャッシュポイズニングへの対策が可能になり、JPドメイン名のセキュリティレベル向上が可能になる。

DNSSEC導入でDNSのセキュリティ向上へ

 まず、2010年10月にJPゾーンにおけるDNSSEC署名を開始。翌年1月に署名鍵の受け付けを開始し、JP DNSでの提供を開始するというスケジュールだ。

 ドメイン名からIPアドレスを導く「名前解決」では、インターネット上に存在するDNSサーバーにIPアドレスの問い合わせを行なう。この問い合わせに対する応答が改ざんされ、異なるIPアドレスが通知されると、たとえば「http://www.amazon.co.jp/」にアクセスしたのに、アマゾンそっくりに作られた詐欺サイトに誘導され、クレジットカード番号を入力してしまうといった事態が生じうる。

 DNSSECによる応答への署名付与はこうした事態を防ぐもので、

  • 正しいDNSサーバーからの応答であるか
  • 応答の内容が改ざんされていないか

を検出可能になる。

 なお、DNSSECについては、世界中のDNSサーバーの大本であるルートサーバーでの正式運用が7月15日(米国時間)に始まっている。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード