［米国］【解説】
DNS脆弱性への対処策で意見が分かれるIETF総会

まだ答えが出ないDNSキャッシュ・ポイズニング問題の解決方法

（2008年11月21日）

　インターネット関連技術の標準化を進めるIETF（Internet Engineering Task Force）は、今年夏に発見されたDNSの脆弱性への対処方法を模索している。今週ミネアポリスで開催中のIETFの会合で、この問題が議論されている。争点は、IETFがDNSサーバを運用しているDNSレジストリやISP、企業に、DNSのセキュリティを向上させる拡張仕様「DNSSEC（Domain Name System Security Extension）」へのアップグレードを促すか、あるいは暫定措置としてこの脆弱性に対応するためにDNSプロトコルを改変するかのどちらを選ぶかだ。

Carolyn Duffy Marsan
Network World米国版

「DNSSEC」を選ぶか
「別の暫定措置」を取るか

　問題の脆弱性は、DNSキャッシュ・ポイズニングと呼ばれ、セキュリティ専門家のダン・カミンスキー（Dan Kaminsky）氏が7月に発見した。クラッカーがこの脆弱性を利用すると、ユーザーが気づかないうちに正規のWebサイトへのアクセスを偽のWebサイトにリダイレクトできるようになる。こうした問題を解決するDNSSECは、10年以上前から開発されてきたが、まだ広く普及するには至っていない。

　DNSSECは、デジタル署名と公開鍵暗号技術を使って、Webサイトのドメイン名と対応するIPアドレスを確認し、前述のような偽装を防ぐ仕組みだ。だが、前提として、DNSSECがインターネット全体、つまり、DNS階層の最上位のDNSルートから.comや.netなど個々のトップレベル・ドメインまで導入されている必要がある。このため、一部のIETF参加者は、別の緊急対策を実施すべきだと主張している。

　このような理由から、現在、DNSキャッシュ・ポイズニングへの対処策を検討しているIETF DNS Extensionsワーキング・グループは、DNSSECを取るか、別の緊急対策を取るかで意見が割れている状態だ。「われわれがどちらを選択するかはまだわからない」と、同ワーキング・グループの共同会長、オラファー・グドムンソン（Olafur Gudmundsson）氏は語る。

　ここ数週間にIETF参加者からDNS Extensionsワーキング・グループに、この脆弱性を突いた攻撃などを防ぐ変更をDNSに加えることを提案する5件のドキュメントが提出された。「これらの提案については検討中だ。われわれがどれか1つを採用するかどうかを述べるのは時期尚早だ」（グドムンソン氏）

｜1｜2｜ > 次のページへ