週刊アスキー

  • Facebookアイコン
  • Twitterアイコン
  • RSSフィード

毎年恒例JPRSのドメイン名重要ニュースを振り返る

ICANN会合やルートゾーンKSKロールオーバーなど2019年の「ドメイン名ニュース」

2019年12月27日 11時00分更新

3位 DNSの通信においても進むプライバシー保護の動き

 3位は、DNSの通信におけるプライバシーの話題である。JPRSの記事では、DNS over HTTPS(DoH)を例にその概要や懸念を紹介している。国内においては、海賊版サイト対策の際に大きな話題になったDNSブロッキングに端を発した議論がよく知られているが、この機会に、あらためてDNSのプライバシー問題とは何なのかを解説する。

 私たちは、インターネットを利用するときに必ずDNSのお世話になる。アクセスしたいURL(ドメイン名)に対するIPアドレスを知る必要があり、DNSという仕組みを用いて名前解決を行なっているのである。この「名前解決」という行為自体は実にシンプルなものである。自分が使っているフルサービスリゾルバー(キャッシュDNSサーバー)にアクセスしたいドメイン名を与えて問い合わせを行なうと、フルサービスリゾルバーがインターネットにある権威DNSサーバーをたどり、与えられたドメイン名に対応するIPアドレスを応答してくれるというものである。

 しかしながら、名前解決もその運用手法によりプライバシーの侵害につながる場合がある。典型的なケースが、DNSブロッキングとDNSの問い合わせ履歴の収集である。DNSブロッキングは、DNS問い合わせを監視し、対象となるサイトに対する問い合わせがあった場合には名前解決を行なわない、あるいは偽の名前解決結果を返すことで、当該サイトへのアクセスをブロックするというものである。ここで問題になるのが、監視対象が利用者全員であり、かつ、すべてのDNS問い合わせの内容が監視対象となる点である。

 もう一方のDNSの問い合わせ履歴の収集は、誰がどのようなコンテンツを好むかを分析する上で重要なデータとなる。つまり、フルサービスリゾルバーを運用する事業者がその気になれば、利用者のDNS問い合わせ履歴を収集・分析することで、利用者の行動履歴として活用できるのである。

 現在のDNSのプライバシー保護は、インターネット利用者に対する監視行為をいかに回避するかという点に重点が置かれている。そのため、クライアントとなる端末とフルサービスリゾルバー間の通信に機密性を与えることに重点が置かれている。

 それを実現するための仕組みの一つが、Webの通信で使われるHTTPSを使い、端末とフルサービスリゾルバーの間の通信を暗号化・保護する技術であるDoHである。DoHは、Google Public DNSを始めとする主要なパブリックDNSサービス、主要なWebブラウザーやOSにおける対応・標準サポートが進むなど、実装・サービスにおける普及が急速に進んでいる。

 しかし、DoHの急速な普及には懸念を示す声も上がっている。たとえば、従来のDNSの仕組みでは、フルサービスリゾルバー側で得られる情報は問い合わせ元のIPアドレスと、問い合わせ内容から推測されるアクセス先やメールの配送先ぐらいであったが、DoHを使用するとHTTPSのセッション情報も加わるため、情報を制限するはずのDoHによって、フルサービスリゾルバー側により多くの情報を与えてしまうことになる。また、DNSの通信を利用したマルウェアがDoHに対応することで、その検出やブロックといった対策が難しくなってしまう恐れもあるなど、DoHの普及によりセキュリティレベルがかえって低下してしまう状況があり得ることも指摘されている。

 結局のところ、現状においてDoHを使う場合、どのフルサービスリゾルバーを信頼するか、信頼できるかということがより重要になるのではないだろうか。なお、DNS通信路の保護にはDoT(DNS over TLS)と呼ばれる技術もあり、他の方法の提案もされている。これから、ますます議論が必要な分野である。

4位 ルートゾーンKSKロールオーバーの完了

 4位は、インターネット初となるルートゾーンKSKロールオーバーが無事に完了した話題である。ルートゾーンKSKロールオーバーとは、DNSSEC(DNS Security Extensions)と呼ばれるDNSのセキュリティ拡張機能において使用するルートゾーンの鍵署名鍵(Key Signing Key)を更新するものだ。今回のルートゾーンKSKロールオーバーに起因する大きな問題の発生は報告されず、ルートサーバーの設定に影響する作業ステップがすべて完了したとのことである。

 DNSの名前解決は、さまざまなDNSサーバーが通信して結果を得る形を取る。しかしながら、DNS自体の仕組みがシンプルであること、送信元IPアドレスの偽装が容易なUDPでの通信が主流であり、通信が平文で行なわれることなどから偽造や改ざんが他の通信プロトコルと比較した場合に容易であることも、また事実である(それらが成功するかはまた別の話である)。そのため、DNSにおいて通信路を保護することと、通信内容を保護することが望まれてきた。

 前出のDoHやDoTは通信路を保護する技術であり、DNSSECは通信内容を保護する技術である。今回のルートゾーンKSKロールオーバーが完了したことで、DNSSECの運用において重要な信頼の連鎖の拠点となる鍵の更新が無事に終了した、ということになる。

5位 ISOCが「.org」のレジストリであるPIRの売却を発表

 5位は、ISOC(Internet Society)が「.org」のレジストリであるPIR(Public Interest Registry)を、投資会社のEthos Capitalに売却すると発表した話題である。こちらに関しては現在もさまざまな情報や憶測が流れてきており、現状ではJPRSの記事に書かれている内容ぐらいしか言える部分がない。

 「.org」は100万件以上の登録数を持つ、インターネットで7番目に登録数の多いTLDである。非営利団体を中心に世界中の組織や団体で使われており、日本国内でも多くのサイトが運営されている。いずれにしても、今後の推移を見守ることにしたい。

番外編:JPRSがccTLDを楽しく学べるポスターを全国の教育機関へ無償配布

 番外編は、JPRSが世界の国・地域別TLD(ccTLD)を一覧にしたポスターを全国の教育機関へ無償配布したという話題である。著名なccTLDであれば大体のイメージを持っているであろうが、そのすべてを知っているわけではない。普段気にしていなかったccTLDはどのような国や地域に割り当てられたものなのか、それを知ることは意外と楽しいものである。以下のURLからPDF版がダウンロードできるので、ご覧になってみてはいかがだろうか。

「ドメイン名は世界のインターネット住所!!」(PDF)

この記事をシェアしよう

週刊アスキーの最新情報を購読しよう