ニュース
今夜25時に迫った「DNSの世界的な運用変更」、ネット史上初の「ルートゾーンKSKロールオーバー」による利用者への影響は?
2018年10月11日 06:15
協定世界時の10月11日16時(日本時間の12日1時)に実施されるという「DNSの世界的な運用変更」に際して、総務省が2日、ISPや企業・組織などに対して再度、「キャッシュDNSサーバー(フルサービスリゾルバー)」の設定を確認するよう呼び掛ける文書を公開した。
「DNS(Domain Name System)」とは、インターネットの基盤となる「ドメイン名」と「IPアドレス」を対応付ける仕組みである。インタネットユーザーは通常、ISPなどが設置しているキャッシュDNSサーバーを利用し、ドメイン名からIPアドレスを得て目的のサイトにアクセスすることになる。総務省では、利用しているキャッシュDNSサーバーが今回の「運用変更」に対応していない場合、ウェブサイトへのアクセスやメールの送信ができなくなるなどの問題が生ずる可能性があるというが、実際のところ、どの程度の影響が出るのだろうか? 株式会社日本レジストリサービス(JPRS)の米谷嘉朗氏に聞いた。
対応が必要なのは、「DNSSEC検証」を行う「キャッシュDNSサーバー」の運用者のみ
今回の運用変更とは、いわゆる「ルートゾーンKSKロールオーバー」のこと。DNSのセキュリティ拡張機能である「DNSSEC(DNS Security Extensions)」で使用する「KSK(Key Signing Key:鍵署名鍵)」を更新(ロールオーバー)するものだ。
DNSSECは、DNSの応答に電子署名を付加し、その署名を問い合わせ側で検証できるようにすることで正しい応答であることを確認できるようにする仕組みである。2010年7月よりルートゾーンでの正式運用が開始されたが、セキュリティ確保の観点からKSKの定期的な更新が予定されていた。ルートゾーンのKSKは5年を目安に更新することとされており、本来であれば2017年10月に実施される計画であったが、それから1年延期されるかたちで、今回、DNSSECの運用開始後で初めてとなるルートゾーンKSKロールオーバーがいよいよ実施されることとなる。
ルートゾーンKSKの更新は、ドメイン名やIPアドレスなどのインターネット資源を調整・管理する非営利組織「ICANN」によって所定の手続きによる準備が済んでおり、あとは実施するだけとなっている。一方、ISPや企業・組織などが運用しているDNSSEC検証を行うキャッシュDNSサーバーにおいては、KSKの更新に合わせて、KSKを信頼するための起点となる「トラストアンカー」と呼ばれる情報を更新する必要がある。総務省の呼び掛けは、このトラストアンカーの更新が必要なISPや企業・組織のネットワーク管理者に向けたものである。
トラストアンカーが意味を持つのは、DNSSEC検証を行うときである。ルートゾーンで署名に使われている鍵とトラストアンカーが対応していないと、DNSSEC検証に失敗するからだ。運用しているキャッシュDNSサーバーでDNSSEC検証を行っている場合は、トラストアンカーを更新する準備を整えておく必要がある。
キャッシュDNSサーバーに古いままのDNSソフトウェア(フルサービスリゾルバーソフトウェア)が使われていると、トラストアンカーの更新がうまくいかない可能性がある。また、設定ミスなどにより意図せずDNSSEC検証が有効になっていた場合、トラストアンカーを更新できていないとエラーとなる。このように、きちんとした対応を取らないと問題が発生するリスクがあるということを、キャッシュDNSサーバーの運用者は理解する必要がある。
なお、ルートゾーンKSKロールオーバーについて、これまでの経緯を含めた詳細は、10月10日付記事『いよいよ明日10月11日深夜に実施、「ルートゾーンKSKロールオーバー」は過度に恐れる必要は無い!?(普段からきちんと管理されているネットワークであれば)』を参照していただきたい。
一般のネットユーザーは、「10月12日朝」というタイミングだけ意識を
一方、一般のインターネットユーザーにとって気になるのは、自分自身が加入しているISPやモバイル通信サービス、もしくは企業・組織内で提供されているキャッシュDNSサーバーの対応状況であろう。
JPRSの米谷嘉朗氏によると、DNSOPS.jp[*1]において、DNSSEC検証を行っているキャッシュDNSサーバーの運用者に対してアンケートを実施した結果、「国内の主だったプロバイダーなどではすでに対応を済ませており、必要に応じて必要な体制を取る予定であることが確認された」ということである。また、広く公開されている「Google Public DNS」「Quad9」「1.1.1.1」といった主なパブリックDNSサービスも対応済みであることから、「大きな問題は発生しないと考えられる」とした。
米谷氏は、今回のルートゾーンKSKロールオーバーについて、ISPや携帯キャリアなど加入者向けのインターネット接続サービスを提供している事業者においてはきちんと対応がなされ、トラブルが発生する可能性はほぼないとみており、「一般のネットユーザーの方々は、特に何かをする必要はない」という。
ただし、企業・組織内LANを経由してインターネットに接続している場合は、企業・組織内のキャッシュDNSサーバーが対応していない可能性も残されているとし、以下のようにアドバイスする。
「もし、10月12日朝になって、PCからアクセスしようとしたときにうまく接続できないサイトがあったら、手持ちのスマホでW-iFiを切り、モバイル回線経由で、そのサイトにアクセスしてください。もしアクセスできるようなら、ネットワーク管理者にその旨を伝えてください。」
すなわち、10月12日朝のタイミングで、モバイル接続プロバイダー経由で正常にアクセスできるサイトが、社内LAN経由からはアクセスできなくなっているとすれば、それは社内向けに設置されているキャッシュDNSサーバーにおいて今回のルートゾーンKSKロールオーバーへの対応がなされていない可能性が高いというわけだ。
「一般のネットユーザーは、その気付きのために、10月12日朝という日付だけ意識してくれれば十分だと思います」。
結論としては、多くのISPではルートゾーンKSKロールオーバーへの対応準備を済ませていることから、インターネットユーザーは過度な心配はしなくて良いということだろう。もし万が一、自身が接続しているネットワークがおかしいと感じたならば、手持ちのスマホを用いて簡単な確認をすることもできる。あとは、キャッシュDNSサーバーの運用者側の仕事である。
[*1]……日本DNSオペレーターズグループ
ルートゾーンKSKロールオバーに関するアンケート(PDF)