このページの本文へ

前へ 1 2 次へ

年末恒例!今年のドメイン名ニュース 第9回

汎用ドメイン名100万件突破!など、ドメイン名にまつわるニュースを総括する

ルートゾーンKSKロールオーバー期間延長など、2017年の「ドメイン名ニュース」

2017年12月27日 07時00分更新

文● 渡瀬圭一 編集● 大谷/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

2017年12月20日、JPドメイン名を管理運用する「日本レジストリサービス(JPRS)」が、恒例となっている2017年度版の「ドメイン名重要ニュース」を発表した。JPRSのドメインネームニュース担当者が選んだ今年の話題とは?

1位 ICANNがルートゾーンKSKロールオーバーの期間延長を発表

 今年の1位に選ばれたのは、ICANN(Internet Corporation for Assigned Names and Numbers)が計画していた「ルートゾーンKSKロールオーバー」の作業が延期されたことである。多くの人には馴染みがないかもしれないので、まずはルートゾーンKSKロールオーバーそのものを理解してもらうための説明から始めたい。

 インターネットにとって、DNSは重要な基盤技術のひとつである。DNSの基本は、「問い合わせ」と「応答」による「名前解決」という形で、調べたいドメイン名に関連付けられた情報を提供することにある(※1)。分かりやすく例を示すと、「example.jpというドメイン名のタイプ“A”(IPv4アドレス)を教えて」という問い合わせを送ると、キャッシュDNSサーバーがインターネット上にある関係する権威DNSサーバーをたどり、最終的に「example.jpというドメイン名のAは192.0.1.10です」という応答を返してくれるわけだ。IPv6アドレスを知りたければタイプ“AAAA”を、メールの送り先を知りたければタイプ“MX”をという具合に、必要な名前とタイプを指定してDNSに問い合わせればよい。こうした仕組みのおかげで、私たちはつなぎたい相手に正しくアクセスできるのである。

※1 問い合わせに応じて、権威DNSサーバーから情報を取り出すことを「名前解決」と呼ぶ。権威DNSサーバーは、管理する範囲(ゾーン)の情報を保持するサーバーのことである。キャッシュDNSサーバーはフルサービスリゾルバーとも呼ばれ、ユーザーからの問い合わせを受けて他の権威DNSサーバーに対して問い合わせを行い、その結果を応答として返す役割を持つ。より正確には、以下のページを参照してほしい。ここでは、JPRSの許可を得て当該ページの図を掲載させていただいた。

問い合わせの動作(「JPRS用語辞典」より)

 ところがDNSの仕様上、問い合わせに対応する応答を偽造して、キャッシュDNSサーバーに本物の応答よりも先に入れてしまう攻撃方法が成立する。これを「キャッシュポイズニング(キャッシュ汚染)」と呼ぶ。キャッシュポイズニングを成功させることは簡単ではないが、もし成功すると、そのキャッシュDNSサーバーを利用しているユーザーを偽のサイトに誘導したり、メールの送り先を偽ったりすることが一定時間(情報がキャッシュされている間)可能になる。

 この問題に対応するために考え出されたのが、「DNSSEC(DNS Security Extensions)」という技術である。DNSSECは、権威DNSサーバーからの応答に公開鍵暗号方式による電子署名を付加し、応答を受け取った側が付加された電子署名を検証することで、受け取った応答を本物だと確認できるようにするための仕組みだと考えていただきたい。

 この仕組みの中で使われるのが、ゾーンごとに存在するゾーン署名鍵と呼ばれる「ZSK(Zone Signing Key)」と鍵署名鍵と呼ばれる「KSK(Key Signing Key)」という2種類の鍵である。ZSKは、権威DNSサーバーが管理するゾーンのリソースレコード(ドメイン名に関連付けられた情報(レコード)のこと)を署名するために使われ、KSKは、ZSKを含む鍵自体を署名するために使われる。簡単に言うと、KSKとは、「使用する鍵(KSKとZSK)」が本物だと確認できるようにするための署名をする鍵なのである。

 一般に、署名に使用する鍵は定期的に新しいものに更新する必要がある。公開鍵暗号方式では長期間使用することで、鍵を解読される可能性が高まるからである。今回の「ルートゾーンKSKロールオーバー」は、DNSSECそのものの信頼の起点となる、ルートゾーンのKSKを更新するための作業なのである(新聞などで「パスワード」とか「合言葉」と書かれるのは、このことを一言で表そうとしたからだと考えられる)。

 さて、ここからが問題のポイントになるのだが、実は、この「KSKの更新」に伴う作業は、DNSSEC検証をしているインターネット上の「すべての」キャッシュDNSサーバーで行う必要がある。ISPや企業、大学などで管理・運用しているキャッシュDNSサーバーだけでなく、個人や研究室のような個別に管理・運用されているキャッシュDNSサーバーにも対応が求められるのだ。

 そのため、各組織でキャッシュDNSサーバーを管理・運用している皆さまには、使用しているDNSソフトウェアを最新にしたうえでその設定を確認し、適切な対応を取るようにしていただきたい。そのために必要な情報はドメイン名重要ニュースの中に参照先として示されているので、そちらを参照すると良いだろう。

2位 汎用JPドメイン名の累計登録数が100万件を突破

 2位に選ばれたのは、汎用JPドメイン名が100万件を突破したという話題である。筆者は、汎用JPドメイン名がずっと増加傾向にあることから時間の問題だと考えていたが、2017年9月1日にその日がやってきたということである。2001年2月に汎用JPドメイン名の登録が開始されて以来、およそ16年7カ月という期間で達成したわけだ。

 11月28日から12月1日にかけて行われた「Internet Week 2017」の「DNS DAY」において、JPRSの平林有理氏から「JP DNS Update」と題した報告が行われたが、その中で、JPドメイン名のゾーンを管理するJP DNSへのクエリ数について、2012年1月の月間総クエリ数を100%としたときの伸び率が2017年11月1日の時点で188%という数字が示されていた。これまで一貫して右肩上がりで伸びてきていることから、JPドメイン名が継続してよく使われているであろうことが読み取れる。

 余談めくが、JPドメイン名は、DNSの安定性が抜群に高い。DNSがきちんと動作しないとさまざまな不具合が発生することから、その信頼性はインターネットでビジネスをする上で今後ますます重要なポイントになるはずだ。ドメイン名を選ぶときの指標として、DNSの評価を加えることを推奨したい。

前へ 1 2 次へ

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード