年末恒例!今年のドメイン名ニュース 第11回
毎年恒例JPRSのドメイン名重要ニュースを振り返る
ICANN会合やルートゾーンKSKロールオーバーなど2019年の「ドメイン名ニュース」
2019年12月27日 11時00分更新
3位 DNSの通信においても進むプライバシー保護の動き
3位は、DNSの通信におけるプライバシーの話題である。JPRSの記事では、DNS over HTTPS(DoH)を例にその概要や懸念を紹介している。国内においては、海賊版サイト対策の際に大きな話題になったDNSブロッキングに端を発した議論がよく知られているが、この機会に、あらためてDNSのプライバシー問題とは何なのかを解説する。
私たちは、インターネットを利用するときに必ずDNSのお世話になる。アクセスしたいURL(ドメイン名)に対するIPアドレスを知る必要があり、DNSという仕組みを用いて名前解決を行なっているのである。この「名前解決」という行為自体は実にシンプルなものである。自分が使っているフルサービスリゾルバー(キャッシュDNSサーバー)にアクセスしたいドメイン名を与えて問い合わせを行なうと、フルサービスリゾルバーがインターネットにある権威DNSサーバーをたどり、与えられたドメイン名に対応するIPアドレスを応答してくれるというものである。
しかしながら、名前解決もその運用手法によりプライバシーの侵害につながる場合がある。典型的なケースが、DNSブロッキングとDNSの問い合わせ履歴の収集である。DNSブロッキングは、DNS問い合わせを監視し、対象となるサイトに対する問い合わせがあった場合には名前解決を行なわない、あるいは偽の名前解決結果を返すことで、当該サイトへのアクセスをブロックするというものである。ここで問題になるのが、監視対象が利用者全員であり、かつ、すべてのDNS問い合わせの内容が監視対象となる点である。
もう一方のDNSの問い合わせ履歴の収集は、誰がどのようなコンテンツを好むかを分析する上で重要なデータとなる。つまり、フルサービスリゾルバーを運用する事業者がその気になれば、利用者のDNS問い合わせ履歴を収集・分析することで、利用者の行動履歴として活用できるのである。
現在のDNSのプライバシー保護は、インターネット利用者に対する監視行為をいかに回避するかという点に重点が置かれている。そのため、クライアントとなる端末とフルサービスリゾルバー間の通信に機密性を与えることに重点が置かれている。
それを実現するための仕組みの一つが、Webの通信で使われるHTTPSを使い、端末とフルサービスリゾルバーの間の通信を暗号化・保護する技術であるDoHである。DoHは、Google Public DNSを始めとする主要なパブリックDNSサービス、主要なWebブラウザーやOSにおける対応・標準サポートが進むなど、実装・サービスにおける普及が急速に進んでいる。
しかし、DoHの急速な普及には懸念を示す声も上がっている。たとえば、従来のDNSの仕組みでは、フルサービスリゾルバー側で得られる情報は問い合わせ元のIPアドレスと、問い合わせ内容から推測されるアクセス先やメールの配送先ぐらいであったが、DoHを使用するとHTTPSのセッション情報も加わるため、情報を制限するはずのDoHによって、フルサービスリゾルバー側により多くの情報を与えてしまうことになる。また、DNSの通信を利用したマルウェアがDoHに対応することで、その検出やブロックといった対策が難しくなってしまう恐れもあるなど、DoHの普及によりセキュリティレベルがかえって低下してしまう状況があり得ることも指摘されている。
結局のところ、現状においてDoHを使う場合、どのフルサービスリゾルバーを信頼するか、信頼できるかということがより重要になるのではないだろうか。なお、DNS通信路の保護にはDoT(DNS over TLS)と呼ばれる技術もあり、他の方法の提案もされている。これから、ますます議論が必要な分野である。
4位 ルートゾーンKSKロールオーバーの完了
4位は、インターネット初となるルートゾーンKSKロールオーバーが無事に完了した話題である。ルートゾーンKSKロールオーバーとは、DNSSEC(DNS Security Extensions)と呼ばれるDNSのセキュリティ拡張機能において使用するルートゾーンの鍵署名鍵(Key Signing Key)を更新するものだ。今回のルートゾーンKSKロールオーバーに起因する大きな問題の発生は報告されず、ルートサーバーの設定に影響する作業ステップがすべて完了したとのことである。
DNSの名前解決は、さまざまなDNSサーバーが通信して結果を得る形を取る。しかしながら、DNS自体の仕組みがシンプルであること、送信元IPアドレスの偽装が容易なUDPでの通信が主流であり、通信が平文で行なわれることなどから偽造や改ざんが他の通信プロトコルと比較した場合に容易であることも、また事実である(それらが成功するかはまた別の話である)。そのため、DNSにおいて通信路を保護することと、通信内容を保護することが望まれてきた。
前出のDoHやDoTは通信路を保護する技術であり、DNSSECは通信内容を保護する技術である。今回のルートゾーンKSKロールオーバーが完了したことで、DNSSECの運用において重要な信頼の連鎖の拠点となる鍵の更新が無事に終了した、ということになる。
5位 ISOCが「.org」のレジストリであるPIRの売却を発表
5位は、ISOC(Internet Society)が「.org」のレジストリであるPIR(Public Interest Registry)を、投資会社のEthos Capitalに売却すると発表した話題である。こちらに関しては現在もさまざまな情報や憶測が流れてきており、現状ではJPRSの記事に書かれている内容ぐらいしか言える部分がない。
「.org」は100万件以上の登録数を持つ、インターネットで7番目に登録数の多いTLDである。非営利団体を中心に世界中の組織や団体で使われており、日本国内でも多くのサイトが運営されている。いずれにしても、今後の推移を見守ることにしたい。
番外編:JPRSがccTLDを楽しく学べるポスターを全国の教育機関へ無償配布
番外編は、JPRSが世界の国・地域別TLD(ccTLD)を一覧にしたポスターを全国の教育機関へ無償配布したという話題である。著名なccTLDであれば大体のイメージを持っているであろうが、そのすべてを知っているわけではない。普段気にしていなかったccTLDはどのような国や地域に割り当てられたものなのか、それを知ることは意外と楽しいものである。以下のURLからPDF版がダウンロードできるので、ご覧になってみてはいかがだろうか。
この連載の記事
-
第15回
ネットワーク
ドメイン名廃止後のリスク、ランダムサブドメイン攻撃など2023年の「ドメイン名ニュース」 -
第14回
ネットワーク
ウクライナ侵攻とドメイン名、.comの値上げなど2022年の「ドメイン名ニュース」 -
第13回
ネットワーク
DNSの設定ミスで大規模障害、会合のオンライン化など2021年の「ドメイン名ニュース」 -
第12回
ネットワーク
増えるgTLDの登録数、NXNSAttackやSAD DNS攻撃など2020年の「ドメイン名ニュース」 -
第10回
ネットワーク
海賊版サイト対策とDNSブロッキングの議論など2018年の「ドメイン名ニュース」 -
第9回
ネットワーク
ルートゾーンKSKロールオーバー期間延長など、2017年の「ドメイン名ニュース」 -
第8回
ネットワーク
「.jp」30周年など、2016年の「ドメイン名ニュース」振り返り -
第7回
ネットワーク
新gTLDが800種類以上に!2015年「ドメイン名ニュース」 -
第6回
ネットワーク
ドメイン名ハイジャックも多発!2014年「ドメイン名ニュース」 -
第6回
ネットワーク
新gTLDへ準備着々!2013年「ドメイン名ニュース」 - この連載の一覧へ