インターネットの根幹を揺るがしかねないと指摘されてきたセキュリティー上の欠陥を世界規模で修復しようとする取り組みが動き出す。ネット上の住所にあたる「ドメイン」とＩＰアドレスが抱える構造的な問題への対策で、日本で広く使われている「.jp」も早ければ年内に手当てが始まるという。ただ、完全対応には長い時間とコストがかかり、解決は容易ではないとの指摘もある。

　７月８日、都内で開催されたインターネット技術者向けの会議。400人を超える聴衆を前に始まった最初のパネル討論のテーマは「動かしてみましたＤＮＳＳＥＣ」。日本レジストリサービス（ＪＰＲＳ）の民田雅人主任研究員らが実証実験の結果を報告すると、会場からは質問が相次いだ。「インターネットの基盤技術にかかわるテーマ。皆、情報をほしがっている」と民田氏は話す。

７月15日に「ルートサーバー」で導入

　ＤＮＳＳＥＣ（ＤＮＳセキュリティー・エクステンションズ）とは、今のインターネットに不可欠なＤＮＳ（ドメイン・ネーム・システム）と呼ぶ仕組みの弱点を補うために、世界規模で導入されようとしているセキュリティー仕様のことだ。７月15日にインターネットのドメイン階層の起点となるサーバー群「ルートサーバー」がＤＮＳＳＥＣを導入する。「.com」や「.net」などの主要ドメインも2011年にかけて相次ぎ対応する予定だ。「日本」を意味する「.jp」ドメインを管理しているＪＰＲＳも「近く具体的なスケジュールを明らかにする」（広報担当者）という。

　ＪＰＲＳの米谷嘉朗主任研究員は、「ＤＮＳＳＥＣとは簡単に言えば、インターネットでサイトを閲覧する際に、正しく目指すサイトに接続していることを保証する技術」と説明する。これが保証されなければ、ユーザーは偽サイトに誘導されても気がつかず、フィッシング詐欺などの被害に遭いかねない。なにより、ドメインとサイトは一致するというインターネットの大前提が崩れることになる。

　通常のフィッシング詐欺は、企業サイトなどに不正侵入してデータを書き換える手口が多く、個々のシステムのセキュリティーを強化すれば防ぐことができる。しかし、08年７月にセキュリティー研究者のダン・カミンスキー氏が行った発表によって、ＤＮＳそのものに通常のセキュリティー対策が及ばない根本的な問題があることが明らかになった。

ＤＮＳのすきを突く「毒入れ」攻撃

　ＤＮＳは、インターネットで通信する際に機器１つひとつに割り振られたＩＰアドレスを人間が記憶しやすい名前に変換するための仕組みだ。例えば、自宅のパソコンのブラウザーで「http://www.nikkei.com」と入力してサイトを閲覧できるのは、アルファベットの意味の固まりとして表示されたドメインを、数字で構成された接続先の機器のＩＰアドレス（例http://123.XX.45.189）に変換しているからである。

　この変換作業を主に引き受けているのが、インターネット接続事業者（ＩＳＰ）やサイト運営企業などが設置しているキャッシュＤＮＳサーバーだ。キャッシュサーバーは、サイトなどのコンテンツがある「コンテンツサーバー」に対しＩＰアドレスの情報を問い合わせて、１つひとつのドメイン名と対応するＩＰアドレスを取得する作業を常に繰り返している。

　インターネット上のコンテンツサーバーは階層に分かれており、これを順にたどることで対象となるＩＰアドレスを絞り込んでいく。ただ、多くの人が頻繁に利用するサイトについてはキャッシュサーバーが一定期間データを保持（キャッシュ）し、利用者にＩＰアドレス情報を効率的に伝えている。

　「しかし、キャッシュサーバーのＩＰアドレスは外部から簡単に書き換えられる」――。カミンスキー氏が明らかにしたのが、ＤＮＳの仕組みのすきを突いた「ＤＮＳキャッシュポイズニング（毒入れ）」と呼ぶ攻撃手法だ。専門家の間では、発見者の名を取って「カミンスキー攻撃」とも呼ばれている。

「無視できないレベルのリスク」

　キャッシュサーバーはコンテンツサーバーからＩＰアドレス情報を得ている。ところが、キャッシュサーバーがＩＰアドレスを確認中に、特定のサーバーを騙（かた）る偽のＩＰアドレス情報を大量に送りつけると「キャッシュサーバー内のＩＰアドレスが書き換えられてしまう可能性がある」（ＪＰＲＳの米谷主任研究員）という。

　ＤＮＳはもともと、サーバー同士が直接電話をするように１対１の関係で情報をやりとりしていない。乱暴な言い方をすれば「一方的に情報は送りっぱなし」（ＮＴＴコミュニケーションズの大島治彦・ＩＰテクノロジー部担当課長）で、誰から送られてきたかの保証はない。キャッシュサーバーとコンテンツサーバーがやり取りしている間に「情報をすり替えられても利用者には分からない」（大島課長）わけだ。

　ＤＮＳキャッシュポイズニングはこれまでもいくつかの手法があり、90年代からセキュリティー強化の対策が講じられてきた。しかし、カミンスキー氏が発見した攻撃方法は、システムのバージョンアップなどの対症療法では解決が難しいとされる。今のところ具体的な被害は明らかになっていないが、専門家の間では「無視できないレベルのリスク」（ＪＰＲＳの米谷氏）との問題意識が高まり、ＤＮＳＳＥＣという抜本対策が取られることになった。

電子署名で通信の相手を証明

　「ＤＮＳＳＥＣを導入するとＣＰＵやメモリーの負荷が上がります」。８日の技術者向け会議でＪＰＲＳの民田氏が主に説明すると、会場からはデータの根拠や詳細について質問が相次いだ。ＤＮＳＳＥＣはサーバーに負荷がかかる。それは、やりとりする情報１つひとつに暗号化された「電子署名」を付けて、本物であることを証明するという手間のかかる対策だからだ。

　キャッシュサーバーがコンテンツサーバーにＩＰアドレスを問い合わせると、コンテンツサーバーは電子署名付きのＩＰアドレスを返答する。キャッシュサーバーはそれがあらかじめ登録された電子署名と一致するかを確認する。正しい場合のみ、ユーザーにＩＰアドレスを返答する。

　コンテンツサーバー側はドメインごとに固有の電子署名を登録する。仮に偽のＩＰアドレスを送り込まれても、電子署名でチェックすれば見分けがつく。ただし、この仕組みが完全に機能するには、インターネット上にあるコンテンツサーバーとキャッシュサーバーのすべてがＤＮＳＳＥＣに対応することが前提となる。

ＮＴＴコム、来年度前半にも導入

　まずインターネットの最上位にあるサーバー群が対応することで、今後は金融機関、電子商取引（ＥＣ）サイト、ＩＳＰなどにＤＮＳＳＥＣが徐々に普及するとの見方が多い。金融機関やＥＣサイトは個人情報やパスワードを盗むフィッシングの標的になりやすく、顧客が被害に遭うリスクが高い。また、多くのユーザーがキャッシュサーバーを使うＩＳＰも安全性を早期に確保する必要があり、「いずれは導入する方針」（大手ＩＳＰ広報）との声が多い。

　ＮＴＴコミュニケーションズは昨年末から仮想のＤＮＳＳＥＣ環境を構築し、サーバーやネットワーク、周辺機器などへの影響を検証している。11年度前半にもＤＮＳＳＥＣを導入する計画で「早期の対応で安全性の高さなどをアピールしたい」（大島課長）という。

　ＪＰＲＳは、早ければ年内を目標に電子署名の登録を開始し、ＤＮＳＳＥＣ対応の環境を整える。今後は中小ＩＳＰや企業のシステム担当者向けに必要な手続きや機器の要件をまとめたガイドラインを作成するなど、一般企業にも啓発活動を広げる方針だ。

業界の枠超えた取り組みを

　もっとも、現時点でＮＴＴコミュニケーションズのように具体的な導入計画を決めている企業は少数派とみられる。サーバー増強が必要な場合もあり、大手ＩＳＰやホスティング事業者のなかにも、「具体的な時期や内容は決めていない」というところが少なくない。

　システム開発会社インテック（東京・江東）の金平剛氏は「拙速な導入は逆に危険」と指摘する。ＤＮＳはインターネットの根幹となる技術であり、障害が起きた場合にメール送受信やサイトの閲覧など「一般の利用に大きな影響を与える可能性がある」ためだ。

　企業向けのセキュリティーなどを手掛けるＫＬａｂ（東京・港）の仙石浩明取締役ＣＴＯ（最高技術責任者）は、ＤＮＳＳＥＣの効果を認めたうえで「セキュリティー対策はいたちごっこで完全な技術はない。技術を採用するかは最終的には企業や技術者の判断になる」と話す。

　ＤＮＳＳＥＣに未対応のままでも、キャッシュサーバーやコンテンツサーバーの運用は従来どおり続けられる。しかし、その間はインターネット全体が潜在的な危険にさらされ続けることになる。目に見えにくい脅威なだけに、一般ユーザーへの情報公開や運用ノウハウの共有など業界の枠を超えた取り組みが欠かせない。

（電子報道部　長岡良幸）