システムエンジニアの大貫です。

先日「DNS」の運用が変更され、対応を行わないとサイトの閲覧等ができなくなるという総務省からの注意喚起があったというニュースを見て
弊社でもDNSの設定などを行っているので、関係性があるか調査しました。

概要

概要としては、DNSのセキュリティ向上の為、暗号化鍵の一部が2017年7月～18年3月にかけて更改されるので、
プロバイダーや、官庁、企業のシステム管理者などに注意喚起を行い、
2017年9月19日までに対応しなければ、ユーザがWebサイトの閲覧や、メールの送信などができなくなるというものでした。

更新内容

暗号鍵の一部が更改されるということで、詳しく調べてみると、更改される内容は以下の２点でした。

＜更改内容＞
①ルートゾーンに含まれる鍵（KSK）が新しくなる。
②一部のDNS応答サイズが一時的に大きくなる。

詳細

そもそも「DNS」とは、例えば「insource-mkd.co.jp」にブラウザでアクセスしようとした際に
『「insource-mkd.co.jp」とは、「49.212.27.56」のIPアドレスにアクセスすればサイトが見れますよ』と
教えてくれるサーバです。
詳細な説明は省きますが、脆弱を突いてDNSの情報に、誤った情報を紛れ込ませると、
同じURLでも、別のサーバを見せることもできるので、フィッシングサイトへ誘導することも
出来てしまいます。
そこで、鍵交換を行って、誤った情報を紛れ込ませないようにチェックするシステムが動いているのですが、
そこの最上位の「鍵」が今回更新される（上記①）ということで、その「公開鍵」を持っていないと
サイトの閲覧ができなくなるというニュースになっているということです。
さらに言うと、公開鍵を取得する際に「更新後の公開鍵」を取得する関係上、DNS応答サイズが大きくなる（上記②）ので
大きなサイズのDNS応答を受け取ることが出来るように対応できていないDNSサーバでは設定を変えなくては
ならないと、これもまた、サイトを閲覧できなくなるということになります。

対応するべき人

2017年9月19日までに対応しなければ、ネットが見れなくなる・・・
対応する人は、以下の対象者とのことでした。

＜対象者＞
①キャッシュサーバの運用者、ネットワーク管理者
②権威サーバの運営者
③顧客のネットワークを運用しているシステムインテグレーター

結果として

概要としては、閲覧者が使用しているプロバイダーや、プロキシサーバが
本件の対応をしていなければ、サイトが閲覧できなくなるというものになります。

弊社の方では、DNSサーバの立ち上げや管理は行っておらず、
既存のDNS管理業者を使用しておりますので、弊社の方で行う作業は無いということになりました。

一般的なプロバイダーや、ネットワーク管理者様の方では、基本的に対応済みだと思いますが
お客様の方でも、気になるようであれば、ネットワーク管理者宛てに
ご確認をされるとよろしいかと思います。

また、DNS応答サイズの確認は、以下のURLでも確認可能とのことですので、
試してみるものありかもしれません。

確認Webサイト DNSSEC Key Size Test
http://keysizetest.verisignlabs.com/
※開いたページの「Result」の列が上から4つめまで「PASS」と記載されていれば対応されております。

脆弱などのニュースなどで、御社のサイトが影響の対象になっているか分からない場合は、
ぜひマリンロードまでご相談ください。

参考サイト）
http://www.itmedia.co.jp/news/articles/1707/24/news080.html
https://www.nic.ad.jp/ja/dns/ksk-rollover/
https://www.nic.ad.jp/ja/translation/icann/2017/20170518.html