Webやメールなどで使われ、インターネットに不可欠な技術となっているDNS(ドメイン名システム)は、2017年9月19日と10月11日に大きな変化が起こる。DNSSEC(DNS Security Extensions)と呼ぶセキュリティ仕様拡張で使用する暗号鍵が更新されるのだ。対応を誤るとDNSSECによる名前解決ができなくなるといったトラブルが発生する恐れがある。トラブルを招かないための準備について、ICANNの最高技術責任者(CTO)であるデイヴィッド・コンラッド氏に聞いた。

(聞き手は山崎 洋一=ITpro

DNSSECの暗号鍵を更新する「KSKロールオーバー」は、企業にどのような影響を与えそうか。

ICANN 最高技術責任者(CTO)デイヴィッド・コンラッド氏
ICANN 最高技術責任者(CTO)デイヴィッド・コンラッド氏
[画像のクリックで拡大表示]

 企業ネットワークや学術ネットワークなどでキャッシュDNSサーバーを運用しており、DNSSECを有効にしているのなら、KSK(Key Signing Key)という暗号鍵の更新が必要になる。その暗号鍵の更新処理が確実に実行されるように準備しておくことが極めて重要だ。

 DNSSECを有効にしていないキャッシュDNSサーバーでは、暗号鍵の更新前後で何も変わらず、DNSのルックアップは問題なくできる。ただ当然ながらDNSSECを有効にしていないので、DNSSECによる保護は受けられない。

 どの組織がDNSSECを有効にしているかを外部から判断するのは難しい。日本レジストリサービス(JPRS)によると、日本におけるDNSSECの普及率は12%くらい(「JP DNSサーバー」への名前解決の問い合わせに対する割合)だという。

影響を受けないようにするため注意が必要なのは、どのような企業か。

 私が最も懸念しているのは、専任のITスタッフを抱えていないネットワークを持つ企業や、DNSサーバーの設定を外部業者に依頼している企業だ。こうした業者が、暗号鍵は時間がたてば変わることを想定せず、DNSSECの設定を有効にしたというケースが考えられる。キャッシュDNSサーバーではこれまで、DNSSECをオンにして、それを忘れてしまったとしても、特に問題は発生しなかった。だがそれは変わる。

 一方で大手プロバイダーなどへの影響は懸念していない。こうした事業者は、専任のスタッフがきちんとフォローしていると考えられるからだ。

影響を受けると、例えばどのようなことが起こり得るのか。

 9月19日以降、暗号鍵の更新に伴って、ネットワークを流れるDNSSECのやり取りに関するパケットのサイズが大きくなる。その結果、2つの問題が発生することが考えられる。

 問題の一つは、ルーターが大きくなったパケットを分割(フラグメンテーション)して送った場合に発生する。フラグメンテーションを悪用した攻撃は、昔から存在する。そのため一部のネットワーク管理者は、分割されたパケットを受け取ったらはじいてしまうようにルーターを設定している。その結果、分割された最初のパケットしか通らないという事態になる。もう一つは、パケットサイズが予想より大きくなったために、ファイアウォールでブロックされてしまうことだ。

※注:DNSSECではKSKとZSK(Zone Signing Key)という2種類の暗号鍵を使用する。新しいKSKは既に公開されており更新可能だが、9月19日からはZSKの更新も始まり、その結果パケットサイズがさらに大きくなる。上記のようにルーターやファイアウォールで大きなパケットがはじかれると、暗号鍵の更新に失敗するといったことが起こり得る。