年末恒例!今年のドメイン名ニュース 第13回
毎年恒例JPRSのドメイン名重要ニュースを振り返る
DNSの設定ミスで大規模障害、会合のオンライン化など2021年の「ドメイン名ニュース」
2021年12月28日 07時00分更新
2021年12月15日、JPドメイン名を管理運用する「株式会社日本レジストリサービス(JPRS)」が、恒例となっている2021年度版の「ドメイン名重要ニュース」を発表した。JPRSのドメインネームニュース担当者が選んだ今年の話題とは?
1位:DNSの運用ミスによる大手SNSなどで大規模障害が発生
今年の1位に選ばれたのは、SlackやFacebook(Instagram、Facebook Messenger、WhatsApp、Oculusを含む)という世界的なサービスで相次いだDNS障害の話題である。読者の中にも影響を受けた方が多いのではないだろうか。かく言う筆者も、それらの影響を受けた一人である。
Slackのケースにはいくつかの段階があるが、同社の公式ブログ[*1]を見る限り、いったん有効にしたslack.comゾーンのDNSSECを解除する際の判断にミスがあったようである。通常、DNSSECを解除する際には親ゾーンのDSリソースレコード(以降、RRと記述する)のみを削除し、そのTTL(データをキャッシュして良い時間)が確実に過ぎるのを待つ必要がある。しかし、Slackのチームは、DS RRはキャッシュされないと誤解し、即座にslack.comゾーンのロールバックを行ってしまった旨がブログに記載されている。
ところが、実際にはフルサービスリゾルバー(キャッシュDNSサーバー)はDS RRをキャッシュしており、ロールバックにより「DS RRはキャッシュに残っているが、対応するDNSKEY RRは存在しない」という状態になったため、DNSSEC検証エラーが発生してしまった。本件の当初の問題は、SlackがDNS管理に利用しているAmazon Route 53のDNSSEC実装のバグ(後述、現在は修正済み)により、DNSSECを有効にした場合にGoogle Public DNSでapp.slack.comを名前解決できなくなるというものであったが、不適切なロールバックの結果、より広範囲のユーザーが名前解決できない事態に陥ってしまった。
慎重にDNSSEC対応を進めたが、ゾーン内でワイルドカードを使っている場合、Amazon Route 53のDNSSEC不在応答(NSEC)の内容の一部が不適切であったというバグを踏んでしまったこと、comゾーンに設定されるDS RRのTTLが長かった(86400=1日)ことなど、Slackのチームにも不運な面はあった。経緯や顛末はブログに詳しく書かれているので、そちらを参照していただくのが良いだろう。
Facebookのケースは、バックボーンネットワークの通常メンテナンスの際の設定ミスにより、FacebookのDNSプラットフォームがインターネットから切断されてしまったことが直接の原因である。同社の公式ブログ[*2]には、この障害を契機とし、2つの大きな障害に直面したということが書かれている。ひとつは、通常の手段でデータセンターにアクセスすることができなくなったこと、もうひとつは、DNSサービスが停止したことで、問題を調査・解決するために通常使用する内部ツールの多くが使えなくなってしまったことである。
一般のユーザーから見ると、Facebookのサービスにアクセスしようとしても、DNSの名前解決が失敗するためアクセスできないことになるが、当のFacebook自身も、DNSサービスが止まってしまったことで必要な内部ツールが使えなくなり、問題の調査・解決に時間を要するという問題を引き起こしていたわけである。
このブログには、(我々Facebookの)施設は高レベルの物理的およびシステムセキュリティを念頭に置いて設計されていたため、施設への入室自体が困難であり、入室後も設備を安全に変更できるようにするために大変な苦労をしたということも書かれている。あるネットワークが止まってしまった場合、DNSサーバーだけ動いていても意味がないという話がされることがあるが、Cloudflareのブログ[*3]に書かれているように、Facebookのような大規模なサービスでは、DNSサービスだけが生きている状態にも意味があるのかもしれない。
つねに言っていることではあるが、DNSというのはインターネットを支える重要な基盤技術のひとつである。昔であれば、ドメイン名に対応するIPアドレスを答えてくれさえすればいいと考える人が多かったが、現在のDNSにはさまざまな情報が載るようになっている。あらためて、その重要さを考え直してみたい。
[*1] Slack Engineering:The Case of the Recursive Resolvers
https://slack.engineering/what-happened-during-slacks-dnssec-rollout/
[*2] Engineering at Meta:More details about the October 4 outage
https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/
[*3] フェイスブックがインターネットから消えた事件を解明する
https://blog.cloudflare.com/ja-jp/october-2021-facebook-outage-ja-jp/
2位:イベントのオンライン開催が継続 ハイブリッド開催に向けた動きも
2位となったのは、新型コロナウイルス感染症拡大の影響で広がった、国内外におけるドメイン名業界の関連会合やイベントの開催方式についての話題である。イベントのオンライン化は昨年1位となった話題だが、新型コロナウイルス感染症が収束の気配をみせない中で、オンライン開催の課題を解決しようという動きなのだろう。
オンライン開催には、特に地理的な不利を解消する効果がある。遠方の人々にとって、移動する時間や費用、宿泊代といったコストをかけずに参加できるメリットはとても大きい。しかし、その一方で、現地で集まることで可能になる気軽な紹介や会話、会議終了後の集まりといった、交流にかかわるメリットが得にくいという問題を解決してほしいという声も大きくなっている。
実際、オンライン開催が続くことで面識のない参加者が交流しづらくなっているという懸念の声が上がっているとあるように、会合の性格によっては大きな課題になっているようである。IETF[*4]などでは、オンライン交流ツール「Gather」を使い会議や交流を行う試みを行っているそうだが、対面での集まりに勝るものは無さそうである。
日本では新型コロナウイルス感染症が収まりを見せているため、現地開催とオンライン開催を組み合わせた「ハイブリッド開催」が少しずつ行われるようになってきているが、欧米などでは執筆時点で再びロックダウンを行うかといった議論が行われるほどの広がりを見せている。コミュニティ活動を活性化するための模索は、まだまだ続きそうである。
[*4] IETF:The Internet Engineering Task Forceの略称。インターネット技術の標準化を推進する団体。
https://www.ietf.org/
3位:「.com」の値上げの動き
3位は、.comのレジストリであるVerisignが.comのレジストラ向け料金を値上げした話題であるが、ここで注目するべき部分は「ICANN[*5]とのレジストリ契約の変更により、従来の契約にあった年間の値上げ上限が撤廃された」という点であろう。
ICANNは、gTLDレジストリ・レジストラとの枠組みを規定した文書を、それぞれの組織と交わす(契約する)ことになっている。gTLDレジストリと交わす契約を「Registry Agreement(RA)」と呼び、ICANN認定レジストラと交わす契約を「Registrar Accreditation Agreement(RAA)」と呼ぶ[*6]。
2012年以前からある(.comに代表されるレガシーな)gTLDは、それぞれ内容の異なるRAをICANNとの間で締結しており、その中にはレジストラ向け料金の変更を制約する規定が含まれているものが存在した。.comにもその制約があったが、2020年3月の契約の修正で廃止され、毎年1回、前年比7%を上限とした料金の改定が可能になった。
2012年以降、そうしたgTLDはレジストリ契約の期間満了に伴う契約更新の際に、「Base Registry Agreement」と呼ばれるレジストラ向け料金に関する制約事項が含まれない、共通のレジストリ契約に移行していくことになるだろう。結果として、.comに限らず値上げの動きは出てくると考えられることから、このことに関心を持っておくべきではないだろうか。
[*5] ICANN:Internet Corporation for Assigned Names and Numbersの略称。1998年10月に米国で設立された非営利法人で、グローバルなインターネット資源管理全般に責任を持つ団体。
https://www.icann.org/
[*6] この詳細について興味がある方は、一般社団法人日本ネットワークインフォメーションセンター(JPNIC)の「ICANN主要文書」ページを参照すると良いだろう。
https://www.nic.ad.jp/ja/icann/about/documents.html
この連載の記事
-
第15回
ネットワーク
ドメイン名廃止後のリスク、ランダムサブドメイン攻撃など2023年の「ドメイン名ニュース」 -
第14回
ネットワーク
ウクライナ侵攻とドメイン名、.comの値上げなど2022年の「ドメイン名ニュース」 -
第12回
ネットワーク
増えるgTLDの登録数、NXNSAttackやSAD DNS攻撃など2020年の「ドメイン名ニュース」 -
第11回
ネットワーク
ICANN会合やルートゾーンKSKロールオーバーなど2019年の「ドメイン名ニュース」 -
第10回
ネットワーク
海賊版サイト対策とDNSブロッキングの議論など2018年の「ドメイン名ニュース」 -
第9回
ネットワーク
ルートゾーンKSKロールオーバー期間延長など、2017年の「ドメイン名ニュース」 -
第8回
ネットワーク
「.jp」30周年など、2016年の「ドメイン名ニュース」振り返り -
第7回
ネットワーク
新gTLDが800種類以上に!2015年「ドメイン名ニュース」 -
第6回
ネットワーク
ドメイン名ハイジャックも多発!2014年「ドメイン名ニュース」 -
第6回
ネットワーク
新gTLDへ準備着々!2013年「ドメイン名ニュース」 - この連載の一覧へ