Internet Week 2014 セキュリティセッション紹介第8回「DNSのセキュリティ」について米谷嘉朗氏が語る

11月18日から11月21日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2014 ～あらためて“みんなの”インターネットを考えよう～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、毎年11月に、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。インターネットやその基盤技術に関するエンジニアを主な対象に、最新動向やチュートリアルがある。

- Internet Week 2014
https://internetweek.jp/
今回のテーマは「あらためて“みんなの”インターネットを考えよう」。Internet Weekの実行委員長は「2014年は上半期から、UDPを用いた大規模なDDoS、OpenSSL Heartbleed問題、DNS毒入れ問題などが続き、また、いわゆるフィッシングやスマートフォン向けアプリを仲介した詐欺が横行、企業による大規模な個人情報流出もあり、『セキュリティ』や『プライバシー』に関連する事象が多数発生した」と述べている。技術的な解決方法は存在していても、対応が後手にまわったり、対応しなければならないインシデントは山積みになっているのが現状だ。こうした事態を踏まえ、Internet Weekではいつもに増してセキュリティ関連セッションを増やし、また、対応についても皆で考え、より良い未来を作りたいと考えている。

本連載では、このInternet Week 2014のセッションのうち、情報セキュリティに関する注目のセッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらう。

8回目となる今回は、3日目の11月20日(木)午前に行われるプログラム「T7 DNSのセキュリティ」について、株式会社日本レジストリサービス(JPRS)の米谷嘉朗氏に語っていただいた。

--

Q: DNS に関しても、セキュリティの話題に事欠かない印象があります。

米谷：はい。多くの方がご存じの通り、DNS サーバを対象とした攻撃は増えています。特に昨年2013年3月に Spamhaus に対する DNS リフレクション攻撃(DNS amp攻撃)があったことは、ネット系のニュースでも多く取り上げられました。それ以降、その攻撃を誘発する脆弱性である「DNSのオープンリゾルバ」についても、各所で取りざたされています。

そういった事情を受けて、昨年の Internet Week のセッションでは、だいぶこのオープンリゾルバ対策には力を入れてセッションを用意したのですが、残念ながら、まだオープンリゾルバは残っているのが現状です。また、今年はキャッシュポイズニング攻撃の危険性が再び注目されるということがありました。

Q:「チュートリアル」として、DNS のセキュリティを取り上げた理由は、その辺にあるのでしょうか。

米谷：そうですね。「DNSのセキュリティ」と言うと、すぐ「DNSSEC のこと？」という話にもなりがちなのですが、そもそも通常の運用でも、うまく設定がされていないとセキュリティ上の問題が出ます。DNS のキャッシュサーバを踏み台にして DDoS 攻撃を仕掛けるこの DNS リフレクション攻撃はまさにその類いのものです。

こうした攻撃を防ぐには、DNS サーバ管理運用者が、DNS の仕様、実装、運用において、何に気をつけなくてはならないかを意識しないといけません。こうしたポイントについて、実例を紹介しつつ解説するセッションが必要だと考えました。

Q: 「オープンリゾルバ」の状態は、そんなに大きな問題なのでしょうか？

米谷：キャッシュポイズニングによる被害の具体的な報告はありませんが、当社が調べたところ、JP DNS サーバに問い合わせしてくるリゾルバのうち 1 割くらいは、キャッシュポイズニング攻撃を受けると簡単にやられてしまうことがわかっています。1 割というのは無視できる数ではないですよね。ですから、減らす必要があると考えています。

もちろん、対象となる数が膨大なため、根気強く取り組んでいかねばならない話ではあります。特に重要なサーバや、規模の大きいところから直していかないといけないですね。そこにどうリーチしていくのかは大きな課題です。

また最近顕在化したことは、ISP が自身のオープンリゾルバの状態はつぶせても、家庭用のブロードバンドルーターがオープンリゾルバになっており、それを ISP のキャッシュサーバーにフォワードしてしまい、結果として ISP のキャッシュサーバーが攻撃に加担してしまうというものです。これについても、セッションの中で解説したいと考えています。

Q: DNSに関しては、このセッションだけではなく、その後に「DNS DAY」というセッションもありますが、どう違いますか？

米谷：「DNSのセキュリティ」については具体的な対策の話をし、「DNS DAY」は2014年の DNS を取り巻く状況を振り返り議論するセッションです。

具体的に「DNS DAY」の方のプログラムは、3部構成になっており、第1部は「2014年のアップデート」、第2部では「IP53B」について取り上げます。この「IP53B」は、「DDoS 2014」というプログラムでも触れられますが、悪用される恐れがある DNS の 53 番ポートを ISP レベルでフィルタリングしようというものです。これについては、世の中への影響を考えると、ISP はどういう風に考えてやれば適切なのかが難しい問題であり、これを検討するパートにしたいです。

また第 3 部は「攻撃に備える」と題し、攻撃を受ける前に「備えること」についての話をじっくりしたいです。異常が来るときに事前に何が分かって対策できるのか、また、自前で運用していると人に依存したりして限界があるので、 Managed DNS みたいなものを使うと、ダイバーシティが取れ、管理コストが下げられるのではないかという紹介もします。

そして最後に、「DNS セキュリティイシューへの対応」について取り上げます。「これは危ない！」というインシデントになる前のセキュリティ問題が見つかった際に、どう適切に、世の中に伝え、対処を促していくかについて、JPCERT/CC 、IPA、セキュリティ事業者の方と議論したいです。「こうしていくと目に留まる」「どううまく整合が取るか」といった観点で議論をします。

Q. 「DNSのセキュリティ」と、今年の Internet Week のテーマ：「あらためて“みんなの”インターネットを考えよう」は、一体どのように関わってきますでしょうか？

米谷：やっぱり DNS が安定して運用されないと、インターネットが止まってしまう危険性が生じます。そういう意味で、一貫してDNSやそのセキュリティについては、皆で考えて対応していくということが重要であり、そこに焦点を当ててやっていきたいですね。

Q:最後にこのプログラムをどのような方に聴いていただきたいですか？

米谷：主には新たに ISP や企業ネットワークの DNS サーバ管理運用者になった技術者です。

通常、会社の中で DNS の運用を担当するように言われた人は、前任者からそのまま引き継いでしまうことが多いです。きちんと健全に引き継がれているかどうかは考えてみる価値があり、新任の人たちが、何をポイントに、どう考えて運用すべきなのか、知ってもらいたいです。

もちろん新任の運用者でなくても、今の運用に悩みを持っていたり、セキュリティに懸念がある人にもオススメです。セキュリティイシューがどういうものなのか、製品のどういった点に気をつけなくてはならないかについて心配のある方も、ぜひご来場をお待ちしております。

●プログラム詳細

「T7 DNSのセキュリティ」

- 開催日時:2014年11月20日(木)　9:30～12:00
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,500円／当日料金 8,000円
- https://internetweek.jp/program/t07/

9:30～9:45
1) 導入
森下泰宏(株式会社日本レジストリサービス)

9:45～10:25
2) DNSの仕様に起因するセキュリティ問題
其田学(株式会社インターネットイニシアティブ)

10:40～11:20
3) ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明
川島正伸(NECプラットフォームズ株式会社)

11:20～12:00
4) DNSの運用に起因するセキュリティ問題
阿波連良尚(株式会社日本レジストリサービス)

※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。
※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。