広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

ssmjp20171031
広く知ってほしいDNSのこと
～とあるセキュリティ屋から見たDNS受難の10年間～
2017年10月31日
NRIセキュアテクノロジーズ株式会社
日本DNSオペレーターズグループ
Internet Week 2017 プログラム委員会
中島智広

Copyright（C） NRI SecureTechnologies, Ltd. All rights reserved. 1
本日のゴール
参加者全員が以下のキーワードの区別が付くようになる
▪ スタブリゾルバ、フルリゾルバ、ネームサーバ
▪ レジストラ、レジストリ
「DNSの脅威」を正しく知り、正しく怖がる
「DNSの浸透問題」が都市伝説であることを知る
技術者としてDNSを正しく理解し、備えるモチベーションを得る
社会人一年目からDNSに携わり気づけば10年。その間、本当にいろい
ろなことがありました。教科書に載っていないDNSのいろいろ、その一
部をお話しします。
はじめに
結果

ネットワーク上で名前解決を行うためのプロトコルであり
ネットワークを通じて提供されるあらゆるサービスが依存
WWW, メール, VoIP, etc・・・
DNSの情報に依存する仕組みも多い
SSL証明書
送信ドメイン認証(SPF/DKIM)
パラノイドチェック(正引きと逆引きの一致)
DNSとは
example.jp A ?
example.jp. A is 124.146.181.148
DNSサーバ群

フルリゾルバが代理で.(root)から再帰的に名前解決
名前解決の結果はキャッシュDNSサーバで保持され再利用
低負荷、高レスポンス性を実現するため原則UDPで通信
DNSのメカニズム
.(root)
jp.
example.jp.
example.jp. A ?
キャッシュDNSサーバ
(フルリゾルバ)
↑覚えよう！
権威DNSサーバ
(ネームサーバ)
↑覚えよう！
example.jp. A ?
クライアント
(スタブリゾルバ)
↑覚えよう！
example.jp. A is
124.146.181.148
example.jp.
NS is・・・

ネームサーバ
ゾーン情報を保持、管理、公開するためのサーバ。日本では
Authoritative Serverを直訳して権威DNSサーバとも呼ばれる。
フルリゾルバ
ネームサーバで公開されている情報を、ルートからたどって参
照(再帰問い合わせ)する機能を持つリゾルバ(=名前解決する
もの)。スタブリゾルバに対して、フル(サービス)リゾルバと呼ば
れる。日本ではキャッシュDNSサーバとも呼ばれる。
スタブリゾルバ
再帰問い合わせ機能を持たないリゾルバ。単に名前解決をし
たいだけの機器に組み込まれる。一般的なクライアントOS
（Windows/Macなど)のDNS設定はスタブリゾルバの設定。
ネームサーバ、フルリゾルバ、スタブリゾルバ
3つを区別することが、DNSを的確に理解するために重要
ゾーン情報の公開
再帰問合わせ
キャッシュ
キャッシュ

全世界のサーバが協調して動作する分散型データベースと言えば
聞こえはいいが、どこにでも悪意の入る余地のある脆弱な仕組み
DNSを取り巻く脅威
.(root)
jp.
example.jp.
example.jp. A ?
↑覚えよう！
権威DNSサーバ
↑覚えよう！
example.jp. A ?
クライアント
↑覚えよう！
example.jp. A is
192.0.2.1
example.jp.
NS is・・・

ケース1）応答割り込みによるキャッシュ汚染攻撃
example.jp.
問い合わせ
権威DNSサーバ
↑覚えよう応答
↑覚えよう
クライアント
↑覚えよう
攻撃者
汚染
Rqt
N
WRr 


 )
6553665536
1(15.0
Source:JANOG19 "これでいいのかTTL"民田さん@JPRSを改変
Rr:応答攻撃のレート
Rq問い合わせ攻撃のレート
W:正規応答が返ってくるまでの時間
N:ネームサーバの数
t:時間
Kaminsky Attack(2008年)はこの攻撃の効率性を高めたことで大きく
話題となった。現在はDNS実装に緩和策が施されており、直ちに危険
なものではない。

ケース2-1）金盾（Great Firewall of CHINA）
原典：JANOG27 戸山純一氏「特定の条件下で発生する通信エラーに関する考察」
中国の国家規模のDNSスプーフィングは昔から広く知られる

ケース2-2）中東の某国
https://ripe75.ripe.net/presentations/20-A-curious-case-
of-broken-DNS-responses-RIPE-75.pdf
今日ではもはや中国に限る話ではない

ケース2-3）DigiNotar事件
原典：PKI Day 2012 神田雅透氏「サイバー攻撃ツールとしての公開鍵証明書の役割」
DNSスプーフィングされても重要な通信は
SSL/TLSで保護されるから大丈夫だよ。
偽SSL/TLS証明書とセットで悪用される凶悪な事例が現実に発生

ケース3）日経新聞、はてなドメイン名ハイジャック事件
http://www.itmedia.co.jp/news/article
s/1411/06/news123.html
国内事業者のネームサーバ情報が第三者により書き換えられた

想定される脅威のまとめ
悪意ある第三者
攻撃手法
DNS応答への割り込みによる
キャッシュ汚染攻撃
何らかの手法によるDNSサーバを
乗っ取ったDNS応答の改ざん
など
国家規模の何か
攻撃手法
通信経路ハイジャック
DNSサーバへの介入などによる
DNS応答そのものの改ざん
など
対策手法
改ざんを検知する仕組みの導入
攻撃を検知・防御する仕組みの導入
対策手法
改ざんを検知する仕組みの導入

DNSの不都合な事実
攻撃ポイントがたくさんある
プロトコルとしてスプーフィング(偽装/改ざん)への耐性が高くない
DNSへの攻撃が成功すると
悪意あるサイトへの誘導(フィッシング、攻撃コード、マルウェア配布)
中間者攻撃(Man In the Middle Attack)
サービス妨害(DoS)
etc・・・
あらゆるサービスが依存する重要なインフラにも関わらず、
DNSの応答が正しさを確認する方法がないことが問題
DNSの脆さと相手認証の必要性
DNSにおいて通信相手と通信の中身の認証が必要

DNSSEC(DNS SECurity extension)は
公開鍵暗号を用いた電子署名で応答の真正性検証を行う拡張仕様
DNSスプーフィングを根本的に防ぐことが可能
DNSSECとは
example.jp.
example.jp. A ?
権威DNSサーバ
応答+検証済みフラグ
ユーザ
攻撃者
検証

署名の検証に失敗すると名前解決そのものが失敗(ServFail)
鍵と署名の交換を定期的に行う必要があり運用が煩雑
DNSSECの留意点
.(root)
jp.
example.jp.
名前解決不能
(ServFail)
クライアント
検証
問い合わせ
検証済フラグ付き応答
検証
問い合わせ
署名付応答
鍵情報(DS)の登録
鍵情報(DS)の登録
問い合わせ
権威DNSサーバ
トラストアンカー

DNSSECの捉え方とよくある意見
今後さらにDNSの安全性を脅かす攻撃手法が発見、あるいは脅威が
顕在化したときに備え、それらから守るための手段を社会インフラとして
のDNSおよびDNS運用者は用意しておく必要があります。
DNSSECはそのために用意された既に利用可能な仕組みです。
DNSSECはセンスが悪い。署名失敗時のリスクが高すぎる。
UDPやめてTCPにすればいい
じゃない。
個々のご意見はごもっともなのですが、批判するだけでは解決しません。
代替案とともにIETFなどでの標準化活動をお願いします。

世界的なDNSSECの普及動向
https://stats.labs.apnic.net/dnssec
順
位
cc
TLD
国名 DNSSEC
Validation
1 KI キリバス共和国 95.07%
10 SE スウェーデン 76.40%
17 PT ポルトガル 63.77%
51 HK 香港 36.54%
55 FR フランス 33.22%
70 AU オーストラリア 26.18%
82 US アメリカ 23.09%
99 EU 欧州連合 18.41%
115 RU ロシア 14.97%
167 JP 日本 6.63%

DNSはとっても身近で重要なインフラです。しかし多くの方が無知無関
心であり、その最たる例が「浸透問題」です。技術者として的確にDNS
の知識を備えておきましょう。
メッセージ
https://internet.watch.impress.co.jp/docs/event/iw2011/494798.html
要は正しい手順に
従ってないだけ

日本国内で年2回、DNSを取り巻く現状や動向を共有するイベントが開
催されています。ぜひご参加ください。
お知らせその１
DNS Summer Day
主催：DNSOPS.JP
費用：無償
夏のイベント
2018年6月下旬予定
第19回 DNSOPS.JP BoF
主催：DNSOPS.JP
費用：無償
Internet Week 2017 DNS DAY
主催：JPNIC/後援：DNSOPS.JP
費用：11,000円
同日夜開催
冬のイベント
2017年11月30日
https://www.nic.ad.jp/iw2017/ http://dnsops.jp/event.html

登録受付中！！
日程： 2017年11月28日(火)～12月1日(金) (4日間)
場所：浅草橋(東京)
ヒューリックホール＆ヒューリックカンファレンス
https://internetweek.jp/
お知らせその２

Internet Week 2017 おすすめプログラムピックアップ
まるわかりIoT講座
～スタートダッシュを決める150分～
IoTもおまかせ！サーバーレスで変わる
インフラとの関わり方
11月29日(水) 09:30-12:00(150分)
転ばぬ先のIoTセキュリティ
～コウカイする前に知るべきこと～
11月29日(水) 13:15-15:45(150分)
11月29日(水) 16:15-18:45(150分)
DNS DAY
キャッチアップ！
2020に向けたメール運用
11月30日(木) 09:30-12:00(150分)
11月30日(木) 13:15-18:45(300分)
最新技術の三連星基礎を高める450分
一般学生※
150分枠 5,500円 550円
300分枠 11,000円 1,100円
※25歳以下に限る

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―

More Related Content

What's hot (20)

Viewers also liked (11)

Similar to 広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間― (18)

More from Tomohiro Nakashima (11)

広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―