DNSSECしてますか?
今月の気になるオープンソース情報(2012年3月号)
フロンティア開発部 臼田尚志
CentOSでは、従来からDNSサーバにBIND(Berkeley Internet Name Domain)を採用していますが、CentOS 6 からDNSSEC(DNS Security Extensions)の検証機能がデフォルトで有効になったことが、話題になっています。
DNSSECとは、DNSサーバから得た情報が正しいかどうか検証するための仕組みです。DNSの情報に電子署名をつけることで、正規のドメイン(ゾーン)の情報であることと、改竄されていないことを確認することができます。
従来のDNSでは、パケットを比較的簡単に詐称できるため、偽のサーバに誘導するフィッシング(ファーミング)が技術的には可能です。これにより、大切なお客様が被害に遭われたり、自社のブランドイメージが大きく損なわれたりする恐れがあります。
そこで、自社のドメインをDNSSECに対応させ、DNSSEC検証を有効に設定する企業やサイトが増えています。オープンソースのDNSサーバも、BINDの他にNSD(Name Server Daemon)やUnboundなどがDNSSECに対応しています。
デージーネットでも、昨年、自ドメインである「designet.co.jp」をDNSSECに対応させ、弊社のDNSサーバをDNSSEC検証するようにしました。
ただ、DNSSECの導入によって問題が発生しなかったわけではありません。
たとえば、メールサーバソフトウェアである qmail をご使用のお客様から、デージーネットにメールが届かなくなる現象が発生しました。これは、qmailがデータ量の多いDNSパケットを扱えなかったことに問題があります。幸いパッチがすでに公開されており、これを適用することで解決しました。
今後、DNSによるフィッシング詐欺の手法が広まり、被害の拡大が懸念される恐れがあります。デージーネットでは、お客様や社員の方々がインターネットを安心して使っていただくためにも、DNSSECに対応することをお勧めしています。