 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
DNSSECは解決策になりえるか? DNSの脆弱性の発見者に聞く |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
まず、8日までの4日間は、授業形式で詳細な知識を解説する「トレーニング」を実施、続いて9日・10日にセキュリティ専門家らによる講演「ブリーフィングス」を実施する。 9日に行われるブリーフィングスの基調講演には、セキュリティ研究者のDan Kaminsky氏が登場する。Kaminsky氏は、7月にその存在が広く公になったDNSキャッシュポイズニングの脆弱性(通称「カミンスキー攻撃」)の発見者。8月にラスベガスで行われたBlack Hatに引き続き、日本でもこの脆弱性について講演する予定だ。今回、Kaminsky氏にメールでインタビューした。 なお、ブリーフィングス2日間の参加費は8万9500円(当日料金)だが、基調講演のみを2500円で聴講できるコースも設けている。 ● DNSSECは、最も100%に近い技術的解決策といえるが…… ――カミンスキー攻撃への対策として採用されている「UDP SPR(UDP Source Port Randomization)」は、攻撃の成功確率を下げる手法です。カミンスキー攻撃に対する脆弱性を根本的に解決する手段は無いのでしょうか。Kaminsky氏:100%の解決策というものは存在しません。なぜなら、最終的にレジストリやレジストラの運用によるリスクは存在し続けるからです。数年前、「sex.com」というドメイン名が盗まれましたが、これはDNSキャッシュポイズニングによるものではなく、偽の登録内容変更のフォームをファックスで送ったことによるものでした。 DNSSECは、技術的に問題を解決する方法としては最も100%に近い方法といえますが、これですべてが解決するというわけではありません。SPRをネームサーバーに適用することによって、世界中にあるドメイン名はより安全になります。一方、DNSSECをネームサーバーに適用しても、DNSSECによって守られているドメイン名だけしか安全になりません。DNSSECによって保護しようとするのは、非常に難しい課題でしょう。 より良いSPRが必要だとも言われており、そのような解決策を開発することは可能だと思います。SPRの優れた点の1つに、攻撃されている状態では“攻撃信号”が明確だという点があります。間違った情報を有する数十万のパケットは明らかに攻撃であり、検知するのに間違いようがありません。私は、この信号を使ってネームサーバーに“攻撃モード”を設定して、攻撃から自己を防衛する機能を与えることが可能だと考えています。 ――DNSSECは、今回のような脅威への解決策になりえるのでしょうか。また、今後、DNSSECの普及は不可欠なのでしょうか。 Kaminsky氏:私は、DNSSECが普及するまでのソリューションに注力しており、DNSSECに関してはニュートラルな考えを持っています。ただしDNSSECは、信頼性のための自立的なメカニズムが欠如していることで苦しんでいる、壊れたプロトコルを修正する可能性を多く含んでいると思います。 ● DNSの脆弱性は、単なる1個のバグではなく、システム全体の問題 ――「Black Hat Japan」の基調講演では、どのような内容を話すのでしょうか。Kaminsky氏:私が発見したDNSの脆弱性について話しますが、かなり技術的な内容や、現在提案されているさまざまな解決手法にも触れます。また、1つのバグが問題なのではなく、ネットワーク上のノードの認証ができないシステムであることが根本的な問題点だということを解説します。 ――これほど大きな脆弱性を発見した時、どのような心境だったのか教えてください。技術的な面だけでなく、現実の対応をどうするか、あるいはしなくてはいけないかということは当然考えたと思いますが。 Kaminsky氏:正直、最初はとても興奮し、すごいことを発見したと思いました。当初はDNSを突くつもりはなく、ただインターネットをもう少し速くしようとしていただけでした。以前からこうした攻撃は可能だったのですが、それにはインターネットが遅すぎたのです。そのため、私がインターネットを速くする方法を見つけた時、この攻撃が可能になる方法もすぐに見つかりました。 そしてまさにその時、はっと気付きました……私には顧客がいる、ユーザーがいる、母親もいる、そしてこの攻撃によって自分の母親も危険にさらされるかもしれないと。すぐに心配へと変わり、この問題をどうやれば解決できるか考え、それから何カ月間もこの問題を解決するために労力を費やすことになりました。それは決してたやすいことではありませんでした。特に、修正パッチが公開された後も、この問題の詳細を開示しないことを誓約させられたのですから。しかし、このことにより何億の人々を守れたことに、とてもやりがいを感じることができました。 ――ありがとうございました。 関連情報 ■URL Black Hat Japan 2008 http://japan.blackhat.com/ ■関連記事 ・ キャッシュポイズニングの脆弱性あるDNSサーバー、まだ多数存在(2008/09/18) ・ 「Black Hat Japan 2008」10月開催、Dan Kaminsky氏の講演決定(2008/09/11) ・ 製品開発者は“バグハンター”と情報共有を(2008/09/25)
( 聞き手:永沢 茂 )
- ページの先頭へ-
|
