科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register) | ScanNetSecurity
2026.07.03(金)

科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register)

問題なのは、ブラウジング・セッションが偽のDNSレコードにより途中でハイジャックされていないことを保証する、もっとも単純な方法が終端間プロトコルだということだ。

国際 TheRegister
実際のところ、それ自体ニュースではないが、DoE(米エネルギー省)のSandia Labsが、悪名高きStop Online Piracy Act(ネット規制法案)はセキュアなDNS(その陣営ではDNSSEC)の実装に対する脅威であると警告する一方、同プロトコルの脆弱さに関しては長年議論されている。

問題なのは、ブラウジング・セッションが偽のDNSレコードにより途中でハイジャックされていないことを保証する、もっとも単純な方法が終端間プロトコルだということだ。Sandiaの手紙はその意味で、既に分かっていることをくり返し述べているに過ぎない。

DNSSECは、まさにこうした終端間プロトコルを提案している。今日の不安定な世界で、一般のエンド・ユーザーにとって、それが192.168.1.10(註)ではなく、本当に192.168.0.10なのかを確かめる機会はごくわずかしか無いが、これがDNSハイジャックを可能にし、DNSSECを無くてはならないものにしている。

このセキュアなバージョンのDNSは、DNSと同じ基本機能を実行する。すなわちこれも、人間がブラウザ・バーにhttp://www.theregister.co.uk/と入力することが可能で、実際にコンテンツを入手するため92.52.96.89に向かわせる、分散型のクエリ対応データベースだということだ。しかしこの場合、レゾリューションで使用されるドメイン・レコードが、暗号によって署名されていることが必須だ。

Sandiaが引用しているこの文書では、以下のように書かれている:

「信頼できるネームサーバと要求元アプリケーションの間でエンド・ツー・エンドで実行される場合、DNSSECはDNSレコードの信頼性と偽データの信頼性の無さが、それぞれ検証可能であることを考慮に入れることにより、DNSクエリに対するマン・イン・ザ・ミドル攻撃を防止する。このセキュアな認証は、マルウェアの配布や他の問題あるインターネット行動に対抗するのに非常に重要だ。

「DNSなどにおける認証の欠陥は、個人情報、クレジットカード・データ、電子メール、ドキュメント、ストックデータおよびその他の機密情報を露出させるが、これはハッカーがアメリカの資産に侵入し、損なうための主要な技巧の一つとなっている。」

同ペーパーは2011年5月、DNSポイゾニングという愚行を強制する新たな主張に応えて公開されたもので、PROTECT IP法案におけるDNSフィルタリング要求により喚起されるセキュリティおよび他の技術的懸念というタイトルが付けられている。

「リダイレクションを強制することで、PROTECT IPはDNSSECが検出し、阻止するよう設計されている、まさにその振る舞いを義務づけ、合法化することになる」と、同ペーパーは述べている。「DNSSECに対応するブラウザ、もしくは他のアプリケーションは、無署名のレスポンスを承認しない。承認すれば、セキュアなDNSの目的を無効化してしまうからだ。DNSSECでは当然のことだが、ユーザーのDNSSECクエリへのレスポンスのリトリーブを担当するネームサーバは、それがクエリを確認可能ないかなる方法でも、代替レスポンスに署名することはない。」

(この手紙の記述が、DNSSECを全面的に採用している世界でしか当てはまらないということは、注目に値する。Sandiaが指摘している通り、大半の資産が無署名のままなら、ブラウザは無署名のレスポンスを承認するだろうからだ。)

言い換えれば、SOPAのDNS干渉メカニズムを提案している愚かな操り人形議員達は、自分達の思惑の影響が既に分かっていたからそうしたのだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop