Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

DNSが抱えるリスクと最新対応策~DNSの安定運用に向けて


 「Interop Tokyo 2008」において10日、DNS関係者に向けたコンファレンス「DNSの安定運用に向けて:基礎知識から最新対応策まで」が開催された。

 今回の主要なテーマは、「健全な運用」。DNS(Domain Name System)はインターネットを支える重要な基盤技術のひとつだが、近年では悪用や妨害といった事件も目立つようになった。そのため、安定し、リスクの少ないDNS運用を行なうことがより強く求められるようになってきている。


キャッシュポイズニングのリスクは健在

JPRSの民田雅人氏
 DNSが抱えるリスクとして代表的なものがキャッシュポイズニングである。キャッシュポイズニングとは「毒入れ」とも呼ばれ、DNSを悪用するための代表的な手法として知られている。その動作原理は、キャッシュサーバーが出した問い合わせへの応答を偽造し、キャッシュサーバーに偽の情報を読み込ませて(利用者にとって有害な情報を入れて)しまうというものだ。これが成功してしまうと、そのキャッシュサーバ利用者は知らず知らずのうちに偽のサイトへと誘導されてしまう。

 日本レジストリサービス(JPRS)の民田雅人氏によれば、大きくある二つの手法のうち、パターン1として示されたDNSサーバソフトウェアの脆弱性を狙ったものは対策が進んだためか最近はめっきりと減ったということだ。

 しかし、パターン2として示されたDNSプロトコルの脆弱性を狙う方法は、最近のTTL(Time To Live:キャッシュサーバがキャッシュを保持する時間)の短縮化傾向によってかえってリスクが高まっていると警告する。TTLが短くなることにより問い合わせの頻度が上がり、応答を偽造して送り込むチャンスが増えるというのがその理由である。


キャッシュポイズニングは、偽のホストへ誘導する代表的な手法として知られる 毒入れパターン2として示されたキャッシュポイズニング手法

 ではどのくらいの割合で可能性が上がるのだろうか。民田氏が示した資料によれば、権威DNSサーバーを2台、攻撃対象1台あたりに送るパケット量を10pps、攻撃対象となるキャッシュサーバー数を500台、攻撃可能な(正規のDNS問い合わせが出て、その応答が帰ってくるまでの)時間を10msとした前提で、TTLを43200秒(12時間)とした場合は、キャッシュポイズニングのリスクが急激に高まるまで930日相当を要する。
 
 これに対して、同じ前提で、TTLを30秒とした場合には、わずか16時間という短さとなってしまうことが示されている。


毒入れが1回でも成功する確率の時系列変化。確率が0.5を超えると毒入れが成功しても不思議ではない 短いTTLによって引き起こされる危険性の計算

正しくDNSサーバを運用することが基本

住商情報システムの森氏と服部氏
 DNSのリスクは、何もキャッシュポイズニングに限った話ではない。DDoS攻撃などによりサービスが不能になったりするケースも想定されるが、DNSサーバーの能力不足により正常な状態でもサービスを行なえなくなるといったケースも念頭に置かなければいけない。

 住商情報システムの森拓也氏の発表は、そうした条件の中で使える診断ツールや調査、評価手法について述べたものだ。

 また、こうした報告を裏付ける情報として、同じく住商情報システムの服部成浩氏からキャッシュサーバーのパフォーマンスの紹介があった。その中で、従来BIND 8に比べて遅いといわれてきたBIND 9も最近のバージョンではシングルコア環境でも遜色なく、マルチコア環境ではより高速であることや、BIND 9.5でキャッシュポイズニング対策として実装された(use-queryport-pool)オプション機能を有効にした場合などの実例が示された。


BIND 8.4.7と9.4.2とのパフォーマンス比較 BIND 9におけるユニーククエリ処理のテスト結果

より良い運用をするために必要なことは

 最後のQ&Aのコーナーでは、DNSの運用をアウトソースする場合に注意すべき点は何か、BIND 8からBIND 9への移行をためらっているが、上司を説得する良い材料はないかといったものから、ゾーン情報を変更する際に間違いが無いかを確認できるツールやDNSに関する良書があればそれを紹介してほしいといった内容まで、実に幅広く、数多くの質問が会場から寄せられた。

 これらの質問には、モデレータを努めた日本インターネットエクスチェンジ(JPIX)の石田慶樹氏、DNSの基礎について講演を行なったインターネット総合研究所(IRI)の伊藤高一氏も含めてスピーカー全員で回答する形が取られた。


質問にはスピーカー全員で回答。左からJPIXの石田氏、IRIの伊藤氏、JPRSの民田氏

 ここでは、「DNSの運用をアウトソースする場合には、そこが信用できるかといったことはもとより、すぐに変更したいことが発生した場合に迅速に対応してもらえるか」、「かかるコストを合意できるか」といったことをよく吟味する、といった話題が出ていた。また、BIND 8のようにサポートが終了し、かつ脆弱性の存在が明らかになっているバージョンを使用しても未来はないので、むしろ使わないようにするのが本当ではないかといったテーマも取り上げられた。

 インターネットは、かつては“つながる”ことが重要であった。しかし、近年では仕様上の脆弱性を狙った不正行為の増加により、そうしたリスクから身を守る術を持つ必要性が高まっている。DNSが正しく動作することはインターネットにとって重要な要件のひとつであることを理解し、そのための知識を得ることを欠かしてはならないのである。

関連情報

URL
  Interop Tokyo 2008
  http://www.interop.jp/

関連記事
「BIND 8」の開発が終了、BIND 9への移行を呼びかけ(2007/08/29)
「DNS Day」では、安定運用とセキュリティが最大の関心事に(2006/12/07)


( 遠山 孝 )
2008/06/12 15:00

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.