【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
DNSの“生みの親”、セキュリティ対応の遅さを一喝
「DNSSECの普及を遅らせているIETFに責任あり」との見解を示す
(2008年11月12日)
DNSが抱えるセキュリティ上の問題がIT業界で叫ばれるにもかかわらず、その解決策の1つと目されているDNSSEC(Domain Name System Security Extension)の普及は遅々として進んでいない。そうした現状への危機感を声高に訴えるのが、DNSSECの考案者でありDNSの“生みの親”として広く知られるポール・モッカペトリス(Paul Mockapetris)氏だ。
DNSのセキュリティを向上させる拡張仕様であるDNSSECについては、標準化団体IETF(Internet Engineering Task Force)が普及活動に長年取り組んでいる。しかしモッカペトリス氏は、IETFに対して次のような苦言を呈している。「IETFがDNSSECの規格について議論してきた15年という歳月はあまりに長すぎた。しかもそれは“内輪もめ”に等しい内容だ。その間、DNSに潜むセキュリティ上の問題にしっかり対応できずにいたことで、多くのインターネット・ユーザーを不必要にマルウェアにさらしてきたのだ」
 |
| 米国NominumのWebサイト |
そして、今年7月にセキュリティ研究者のダン・カミンスキー(Dan Kaminsky)氏が発見したDNSプロトコルの欠陥(関連記事)についてモッカペトリス氏は、「DNSに潜む脆弱性の最たるものだ」と強調した。
現在、米国Nominumの会長を務めるモッカペトリス氏は、1980年代にDNSを開発した際、セキュリティ対策の仕様はあとで追加すればよいと考えあえて除外したという。「当時すでにDNSSECの開発は最終段階に達していたにもかかわらず、まだ時期尚早だと考えたのだ。だがその結果、この規格がいまだに広く採用されていないという事態を招いてしまった」と同氏はこぼす。
今のところ、国家レベルでDNSSECの実装に合意しているのは、スウェーデンとプエルトリコだけだという。
また、企業でDNSSECの実装を検討する際には、その技術的複雑さが大きな足かせとなっているとモッカペトリス氏は指摘する。「これまで、DNSSECに関する議論のほとんどは技術者レベルで行われており、広くビジネス社会で議論されることがなかった。そのため、経営陣が理解できるようなビジネス視点での説明をだれもできないのだ。単にDNSSECの技術的な内容を語ったのでは、経営陣やビジネス部門の人たちにはまったく理解してもらえない」
とはいうものの、モッカペトリス氏は、「大きな視点で見れば、DNSはうまく持ちこたえている」との見解を示している。
「私がDNSを設計した当時、サポートするサーバは5,000万台程度だろうと見込んでいたが、実際には今では10億台を超えている。開発者というのは予想の6倍の数字まで見越しておくものだというのが持論だが、それでも私の予想を数倍上回る数字だ。にもかかわらず、DNSが機能していることには満足している」(同氏)
加えてモッカペトリス氏は、「DNSSECが普及することで、DNSの寿命はさらに延びるはずだ。そのためにも一刻も早いDNSSECの普及が望まれる。ただし、DNSが永久には続かないシステムであることももちろん承知している」と語った。
(Maxwell Cooter/Techworld.com)
【The Measurement Factory調査】DNSサーバの25%は「キャッシュ・ポイズニング攻撃」にいまだ未対応
脆弱性発覚から4カ月。未アップデートなど危機意識の低さが明らかに
[世界]アップル、DNS脆弱性の“再修正”パッチを含む「Mac OS X 10.5.5」をリリース
DNS修正をセキュリティ企業が確認。パッチ総数は70件近くに
[米国]ノミナム、DNS脆弱性への対処を施したDNSサーバ・ソフトのアップグレード版をリリース
DNS脆弱性を就く攻撃を防ぐ各種セキュリティ機能を搭載
[米国]【Black Hat USA 2008】DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介
「SSLはわれわれが思っているような万能薬ではない」と強調
[世界]アップルのDNS脆弱性修正パッチは不完全――セキュリティ専門家が警鐘
「クライアント・ライブラリ適用パッチがリリースされていない」
