DNS脆弱性への対処策で意見が分かれるIETF総会
まだ答えが出ないDNSキャッシュ・ポイズニング問題の解決方法インターネット関連技術の標準化を進めるIETF(Internet Engineering Task Force)は、今年夏に発見されたDNSの脆弱性への対処方法を模索している。今週ミネアポリスで開催中のIETFの会合で、この問題が議論されている。争点は、IETFがDNSサーバを運用しているDNSレジストリやISP、企業に、DNSのセキュリティを向上させる拡張仕様「DNSSEC(Domain Name System Security Extension)」へのアップグレードを促すか、あるいは暫定措置としてこの脆弱性に対応するためにDNSプロトコルを改変するかのどちらを選ぶかだ。
Carolyn Duffy Marsan
Network World米国版
「DNSSEC」を選ぶか
「別の暫定措置」を取るか
問題の脆弱性は、DNSキャッシュ・ポイズニングと呼ばれ、セキュリティ専門家のダン・カミンスキー(Dan Kaminsky)氏が7月に発見した。クラッカーがこの脆弱性を利用すると、ユーザーが気づかないうちに正規のWebサイトへのアクセスを偽のWebサイトにリダイレクトできるようになる。こうした問題を解決するDNSSECは、10年以上前から開発されてきたが、まだ広く普及するには至っていない。
DNSSECは、デジタル署名と公開鍵暗号技術を使って、Webサイトのドメイン名と対応するIPアドレスを確認し、前述のような偽装を防ぐ仕組みだ。だが、前提として、DNSSECがインターネット全体、つまり、DNS階層の最上位のDNSルートから.comや.netなど個々のトップレベル・ドメインまで導入されている必要がある。このため、一部のIETF参加者は、別の緊急対策を実施すべきだと主張している。
このような理由から、現在、DNSキャッシュ・ポイズニングへの対処策を検討しているIETF DNS Extensionsワーキング・グループは、DNSSECを取るか、別の緊急対策を取るかで意見が割れている状態だ。「われわれがどちらを選択するかはまだわからない」と、同ワーキング・グループの共同会長、オラファー・グドムンソン(Olafur Gudmundsson)氏は語る。
ここ数週間にIETF参加者からDNS Extensionsワーキング・グループに、この脆弱性を突いた攻撃などを防ぐ変更をDNSに加えることを提案する5件のドキュメントが提出された。「これらの提案については検討中だ。われわれがどれか1つを採用するかどうかを述べるのは時期尚早だ」(グドムンソン氏)
- 1
- 2
