先週末、インターネット史上最大級のセキュリティ強化策の最終段階として、.com ドメイン名に対して DNSSEC (Domain Name System Security Extensions) が有効になりました。
DNSSECは、ドメインにデジタル署名(つまりエンドユーザーによる認証)を可能にすることで、古くからあるドメインネームシステム(DNS)を拡張します。(DNSは、pcworld.comのような人間が読めるWebアドレスを、コンピューターが理解できる70.42.185.10のような数値IPアドレスに変換するために使用されます。)
このシステムにより、ハッカーがウェブサイトのDNSレコードを偽造し、本物と全く同じサイトに訪問者を誘導して個人情報を収集する、いわゆる「中間者」攻撃を実行することが難しくなります。
DNSSECは、ウェブサイトとブラウザ間の接続を保護するシステムであるHTTPSとは異なります。HTTPSは、銀行やメールサービスなどで、転送中のデータの閲覧を防ぐために使用されています。DNSSECはドメインルックアップの認証のみに限定されており、データの暗号化や、サービス拒否(DoS)攻撃などのハッキング攻撃の阻止は行いません。
.comトップレベルドメイン(TLD)は、数年前から始まった移行プロセスの中で、最後に移行が行われた主要TLDの一つです。.netドメインと.orgドメインは昨年DNSSECに対応し、政府機関の.govドメインは、2008年に米国行政管理予算局(OMB)が翌年までにすべての.govドメインをアップグレードすることを義務付けたことを受けて、最初にアップグレードされたドメインの一つとなりました(ただし、まだ移行を完了していないドメインが半数に上るとも言われています)。
では、ウェブサイトを運営している場合、何をすべきでしょうか?DNSSECは必須ではないため、急いで何かをする必要はありません。また、.com TLD(またはその他のTLD)のアップグレードによって既存のDNSルックアップが機能しなくなることもありません。DNSSECは段階的に導入されるように設計されており、下位互換性があります。
ただし、ドメインレジストラに連絡して、ドメイン名でDNSSECを有効化できるかどうかを確認してください。レジストラは、DNSSECの導入に必要な設備をまだ整えていない場合でも、少なくとも導入に向けて取り組んでいるはずです。大手レジストラの一つであるGoDaddyは、かなり前からDNSSECの導入に取り組んでいます。DNSSECレコードの作成はやや複雑なため、おそらく料金が発生するでしょう。例えば、GoDaddyはDNSSECドメインを最大5つまで登録する場合、月額数ドルの料金を請求します。
厳密には必須ではありませんが、エンドユーザー保護のため、インターネットサービスプロバイダー(ISP)に連絡して、DNS解決サービスをDNSSECに切り替える予定があるかどうか確認することをお勧めします。現時点では、そのようなISPはごくわずかで、大手ISPの中ではComcastのみがConstant Guardサービスの一環としてDNSSECを導入しています。
DNSSEC はエンド ユーザーには見えず、ドメインの不一致が発生しない限り入力は不要であることに注意してください。ドメインの不一致が発生すると、DNS ルックアップは単に「サイトが見つかりません」というメッセージを表示して失敗します。
ワークステーションに関しては、Windows 7はDNSSECルックアップを自身で実行しません。これは、各コンピューターでのシステム設定が複雑になるためです。代わりに、Windows 7は使用しているDNSルックアップサーバーがDNSSECに対応しているかどうかを検出し、DNSSECを使用するようサーバーに指示します。
Firefox用のDNSSEC対応拡張機能をダウンロードすれば、DNSSEC対応のウェブサイトにアクセスした際にURLの横に鍵アイコンを表示できます。しかし、現時点でエンドユーザーができることはこれだけです。今後、DNSSECはブラウザやインターネット対応ソフトウェアの組み込み機能になる可能性が高いでしょう。
