メールマガジン

DNSSECしてますか?

今月の気になるオープンソース情報(2012年3月号)

フロンティア開発部 臼田尚志

CentOSでは、従来からDNSサーバにBIND(Berkeley Internet Name Domain)を採用していますが、CentOS 6 からDNSSEC(DNS Security Extensions)の検証機能がデフォルトで有効になったことが、話題になっています。

DNSSECとは、DNSサーバから得た情報が正しいかどうか検証するための仕組みです。DNSの情報に電子署名をつけることで、正規のドメイン(ゾーン)の情報であることと、改竄されていないことを確認することができます。

従来のDNSでは、パケットを比較的簡単に詐称できるため、偽のサーバに誘導するフィッシング(ファーミング)が技術的には可能です。これにより、大切なお客様が被害に遭われたり、自社のブランドイメージが大きく損なわれたりする恐れがあります。

そこで、自社のドメインをDNSSECに対応させ、DNSSEC検証を有効に設定する企業やサイトが増えています。オープンソースのDNSサーバも、BINDの他にNSD(Name Server Daemon)やUnboundなどがDNSSECに対応しています。

デージーネットでも、昨年、自ドメインである「designet.co.jp」をDNSSECに対応させ、弊社のDNSサーバをDNSSEC検証するようにしました。

ただ、DNSSECの導入によって問題が発生しなかったわけではありません。
たとえば、メールサーバソフトウェアである qmail をご使用のお客様から、デージーネットにメールが届かなくなる現象が発生しました。これは、qmailがデータ量の多いDNSパケットを扱えなかったことに問題があります。幸いパッチがすでに公開されており、これを適用することで解決しました。

今後、DNSによるフィッシング詐欺の手法が広まり、被害の拡大が懸念される恐れがあります。デージーネットでは、お客様や社員の方々がインターネットを安心して使っていただくためにも、DNSSECに対応することをお勧めしています。

デージーネットマガジン2012年3月号記事一覧

DNSSECしてますか?の先頭へ