インターネットイニシアティブ(IIJ)は2020年1月16日、IIJのインターネット接続サービスで提供しているDNSのキャッシュサーバーのセキュリティを同日付けで強化したと発表した。新たに、DoT(DNS over TLS)とDoH(DNS over HTTPS)、およびDNSSECを実装した。DNSの通信を暗号化することで、データの改竄などを防止する。プロトコルの追加実装による追加費用は発生しない。
インターネットイニシアティブ(IIJ)がインターネット接続サービスで提供しているDNSのキャッシュサーバーに関して、セキュリティを強化した。ユーザーからキャッシュサーバーへのDNSの問い合わせを暗号化するプロトコルとして、DoT(DNS over TLS)とDoH(DNS over HTTPS)を実装した。さらに、DNSSECを実装し、DNS権威サーバーからの応答に含まれる電子署名をDNSキャッシュサーバー側で検証できるようにした(図1)。
図1:IIJがインターネット接続サービスで提供しているDNSのキャッシュサーバーに、新たにDoT(DNS over TLS)とDoH(DNS over HTTPS)、さらにDNSSECを実装した(出典:インターネットイニシアティブ)拡大画像表示
IIJは2019年5月から、DNSの通信を暗号化して安全にDNSキャッシュサーバーを利用できるようにする試験サービス「IIJ Public DNSサービス(ベータ版)」を提供してきた。今回、試験サービスで得た知見を活かし、IIJのインターネット接続サービスで提供しているDNSのキャッシュサーバーにセキュリティ機能を反映した形である(関連記事:IIJ、暗号化DNSキャッシュサーバーを試験公開、DNS over TLSとDNS over HTTPSで通信可能)。
今回の強化ではまず、DNSの経路を暗号化するプロトコルとして、TLS(Transport Layer Security)を使って通信経路を暗号化するDNS over TLS(DoT)と、TLSベースのWebアクセス用プロトコルであるHTTPSの上にDNSのプロトコルを載せるDNS over HTTPS(DoH)の2つのプロトコルを実装した。DoTまたはDoHを実装したクライアントであれば、これらのプロトコルを介してIIJのDNSキャッシュサーバーを利用できる。
今回の強化ではさらに、電子署名を使ってDNSサーバーの正当性を確認し、DNSの情報が改竄されていないかどうかを検証するプロトコルとして、DNSSECを実装した。IIJは従来、ドメインの情報を管理するDNS権威サーバーにおいてDNSSEC対応を進めてきた。今回、インターネット上のDNS権威サーバーにおいてDNSSECの普及が進んだことを受け、DNSキャッシュサーバー側でもDNSSECに対応した。DNS権威サーバーからの応答に含まれる電子署名をDNSキャッシュサーバー側で検証し、サーバーの正当性を確認できるようになる。
機能強化の背景について同社は、DNSの仕組みを悪用したサイバー攻撃によってDNSの応答情報が偽造される状況を挙げる。「DNSはドメイン名とIPアドレスの対応を管理する分散データベースであり、インターネットを利用するユーザーは、ドメイン名からIPアドレスを調べる際などにDNSに問い合わせる。攻撃者は、DNSのデータや応答を書き換えることで、利用者が気づかないうちに不正な偽サイトに誘導する」(同社)。
これまでのDNSプロトコルは、こうした不正な攻撃に対して課題があった。通信経路が暗号化されていないほか、DNSサーバーが正当なサーバーであることを確認する方法がない、といった問題があったと同社は指摘。こうした問題に対して、DNSの通信経路を暗号化するプロトコルとしてDoT(DNS over TLS)とDoH(DNS over HTTPS)が、DNSサーバーの正当性を電子署名で確認するプロトコルとしてDNSSECが作られたという。
