イベントレポート

Internet Week 2016

大きく変化していくDNSの規格 ほか~「DNS DAY」の話題から

 「Internet Week 2016」で12月1日、DNSに関する話題を集めたプログラム「DNS DAY」が開催された。今年は、DNSを悪用した新たな攻撃手法の発見や、10月に起った米DynのDNSサービスインフラに対する大規模なDDoS攻撃など、DNS関係者にとって関心の高い事件が発生している。そのためか、会場はほぼ満席。話題が盛り沢山の回となった。

「DNS Update」の話者

全TLDでのドメイン名は増加傾向、IPv6の話題も増えつつある

 DNSに関するこの1年間の動向を報告する「DNS Update」では、まず、WIDEプロジェクト/東京大学の関谷勇司氏による発表「Root DNS」で、ルートサーバーへのDDoS攻撃が厳しくなってきていること、関係者で緊急時に備えた避難訓練を行っていることなどが紹介された。同日行われた「ランチのおともにDNS」(12月8日付記事『2016年のDNS関連インシデント事例/DNS運用における「見抜く力」とは』参照)でも話題になっていたが、権威DNSサーバーに対する攻撃は利用者側も一緒になって考える必要のある問題である。なぜなら、DDoS攻撃に利用されているのは、いわゆる「管理されていないオープンリゾルバー」であったり、インターネットに接続されていながら誰からのアクセスでも受け付けてしまうウェブカメラなどのIoT機器であったりするからである。関係者も含めた幅広い周知活動を行い、こうした問題を啓発するべきではないだろうか。ちなみに、口頭ではあるが、「ルートサーバーすべてにIPv6アドレスが付き、IPv4/IPv6の双方でサービスを提供するようになった」ということも報告されている。

 株式会社日本レジストリサービス(JPRS)の米谷嘉朗氏による「DNSSEC UPDATE」からは、10月1日に行われたルートのZSK(zone-signing key)の鍵長変更(1024bitから2048bitへ)による影響が無かったこと、2017年7月から2018年3月にかけてルートのKSK(key-signing key)の更新が実施される予定であることなどが報告された。特に、KSK更新の際には応答サイズが増加することでIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性が出てくること、かつ、現在ではフルリゾルバーでDNSSEC検証をしていない場合もDNSSEC署名付きの応答を受け取っているため、すべてのDNS運用者はネットワークの状況を改めて確認しておいてほしいとのことだ。

KSK更新の際に影響を受ける対象者とその影響

 JPRSの坂口智哉氏による「JP DNS Update」では、JPドメイン名登録数およびJP DNSへのクエリ数の増加傾向が続いていることが報告されている。

JPドメイン名登録数の推移
JP DNSへのクエリ数の推移

 一般社団法人日本ネットワークインフォメーションセンター(JPNIC)の小山祐司氏による「逆引きDNS」では、逆引きDNSのlame delegation改善と逆引きDNSSECの報告が行われた。

 NTTコミュニケーションズ株式会社の小坂良太氏による「フルサービスリゾルバー」では、ユーザーからのクエリ数とユーザー数が依然として増加傾向にあることが報告された。特に、1日1000クエリ以上送信するユーザーの割合が増加傾向にある。その理由として、ウェブサイトの複雑化やブラウザーのプリフェッチ機能、家庭内の端末(スマートフォンやタブレット)数の増加とWi-Fiオフロードの普及が考えられるとした。IPv6のAAAAクエリを送信するユーザーも増加傾向にあり、今後は、IPv6の普及とともにこの傾向がさらに続くのではないかと分析している。また、一時期止まっていたDNS水責め攻撃(ランダムサブドメイン攻撃)が9月に再開されたこともグラフを使って示している。この情報は重要であろう。

ユーザーからのクエリ数とユーザー数
1日あたりに送信するクエリ数別ユーザー割合
AAAAクエリ送信ユーザーの割合
ランダムサブドメイン攻撃のクエリ数

 JPRSの宇井隆晴氏による「ドメイン名全般」では、新gTLDの状況などが報告された。報告の中で興味を引くのは、Spamhausの調査結果を紹介した資料において「abused」なTLDの比率が示されており、その中で「bad domain」が、観測されたドメイン名の数の84.5%にも達するものがあったという点だろう。宇井氏が発表の中で示した調査結果では、bad domainの比率が高いTLDの多くが新gTLDであった。bad domainとされたサイトでは、スパムの送信やマルウェアの配布・フィッシングなど、不正な目的のためにドメイン名が使われており、同社によって危険だと判断されている。

 ちなみに、登録されているすべてのドメイン名の数は2016年6月の段階で3億3460万であるとのこと。2015年6月の段階では2億9600万であったということであるから、1年で3860万も増えたことになる。また、宇井氏からは「.jp delegation 30周年」という見出しで、JPドメイン名が日本のccTLDとして、ジョン・ポステル氏から村井純氏へ委任(delegation)されてから30年が経過したことが報告された。

The World's Most Abused TLDs
全TLDでのドメイン名数

大きく変化していくDNSの規格、IETFへの注視は必須

 続く、JPRSの藤原和典氏による「最近のIETF事情」では、IETFにおけるDNS関連WG(ワーキンググループ)の標準化活動に関する報告が行われた。報告では、技術者として押さえておきたいポイントが数多く示されたが、ここではその中の2つに話題を絞る。

 まず、重要なポイントとして、DNSのクエリ時に利用される通信プロトコルが大きな変更を受けている。従来は最初にUDPでクエリを送り、切り詰められた(TC=1)応答を受け取った場合にTCPで再度クエリを送るべきであるとされていたが、現在では、ユーザー側の都合によりTCP/UDPのいずれを使用してもよい、つまり、最初からTCPで問い合わせてもよいことになっている。

 また、1つのTCP接続上で複数のクエリを連続して送ってもよく(応答を待つ必要はない)、TCP接続を張りっぱなしにしておき、ときどきクエリを送るといったかたちも許される。もちろん、サーバーが保持可能なセッション数には限界があるためそうした制約も考えなくてはいけないが、UDPファーストでなくなったというインパクトは大きい。

dnsop: DNSプロトコル変更 TCP通信路

 次に取り上げるのが、DNSからの情報漏えいを最小限にする試みである。DNS技術者にはおなじみだが、DNSにおける名前問い合わせは暗号化されておらず、かつ、ルートサーバーにも、TLDのDNSサーバーにも、個別のドメイン名を管理してるDNSサーバーにもすべて同じ内容のクエリを送っている。しかし、昨今のプライバシーを重要視する流れから、下の図のように問い合わせを最小化する「QNAME minimisation」という名前検索の形式が提案され、Experimental RFCとして発行された。

dnsop: クエリ情報漏えい最小化

 また、次の図のように、スタブリゾルバーとフルサービスリゾルバーの間の通信を暗号化する規格は標準化が完了し、今後はフルリゾルバーから権威DNSサーバー間の通信の暗号化に取り組むことが表明されている。

dprive(DNS PRIVate Exchange)WG

 このほかにも、証明書をDNSで取り扱うdane WGの話題があったり、DNSを使った広域でのサービスディスカバリを作るdnssd WGの話題があったりと、非常に盛り沢山であった。

使用していたドメイン名を手放すときにどのようなことをすればよいのか?といった議論も

 DNS DAYの後半は、日本ネットワークイネイブラー株式会社の石田慶樹氏による「ドメイン名のライフサイクルマネージメント」、GMOインターネット株式会社の永井祐弥氏による「見抜く力を!データを見て対策を考える(権威サーバ)」、九州通信ネットワーク株式会社の末松慶文氏による「見抜く力を!データを見て対策を考える(フルリゾルバ)」といった発表が続き、その後、「いまどきの権威DNSシステム」として、株式会社インターネットイニシアティブ(IIJ)の其田学氏、株式会社ブロードバンドタワーの藤田誠氏、株式会社DMM.comラボの高嶋隆一氏、IIJの山口崇徳氏による発表とディスカッションが行われた。

 いずれの発表も会場から大きな関心を集めていたが、多くの読者にも関係しそうな話題として石田氏の「ドメイン名のライフサイクルマネージメント」を簡単に取り上げる。

 ドメイン名のライフサイクルマネージメントとは、ドメイン名を登録した後、どのような状態があり、どのような契機で状態が切り替わるのかといったライフサイクルを説明するものである。奇しくも、愛媛県新居浜市の観光サイトで3月末まで使用していたドメイン名が第三者に再登録され、市の観光サイトそっくりのページからオンラインカジノサイトへ誘導するようになっていたという事件があったばかりなためか、会場からも活発な意見が出ていた。

 ここでのポイントは、使用していたドメイン名を手放すときに、どのようなことをすればよいのかといった点である。そのドメイン名を使ったサイトの役目が終了したからといって、すぐに手放すのは悪手であるという意見が多数ではあったが、具体的にどのようにすればよいかという点についてはさまざまなコメントが出ることとなった。

 一例を挙げると、「役目を終えたドメイン名を維持するためだけに予算を確保できるのか」といった現実的な話や、「維持するとしたらどれぐらいの期間が必要か」とか、「レジストリはその費用についてどう考えるのか」といった具合である。おそらく、この話題はすぐには決着しないであろう。多くの意見を待ちたいところである。