科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register)

国際 TheRegister

実際のところ、それ自体ニュースではないが、DoE(米エネルギー省)のSandia Labsが、悪名高きStop Online Piracy Act(ネット規制法案)はセキュアなDNS(その陣営ではDNSSEC)の実装に対する脅威であると警告する一方、同プロトコルの脆弱さに関しては長年議論されている。

問題なのは、ブラウジング・セッションが偽のDNSレコードにより途中でハイジャックされていないことを保証する、もっとも単純な方法が終端間プロトコルだということだ。Sandiaの手紙はその意味で、既に分かっていることをくり返し述べているに過ぎない。

DNSSECは、まさにこうした終端間プロトコルを提案している。今日の不安定な世界で、一般のエンド・ユーザーにとって、それが192.168.1.10(註)ではなく、本当に192.168.0.10なのかを確かめる機会はごくわずかしか無いが、これがDNSハイジャックを可能にし、DNSSECを無くてはならないものにしている。

このセキュアなバージョンのDNSは、DNSと同じ基本機能を実行する。すなわちこれも、人間がブラウザ・バーにhttp://www.theregister.co.uk/と入力することが可能で、実際にコンテンツを入手するため92.52.96.89に向かわせる、分散型のクエリ対応データベースだということだ。しかしこの場合、レゾリューションで使用されるドメイン・レコードが、暗号によって署名されていることが必須だ。

Sandiaが引用しているこの文書では、以下のように書かれている:

「信頼できるネームサーバと要求元アプリケーションの間でエンド・ツー・エンドで実行される場合、DNSSECはDNSレコードの信頼性と偽データの信頼性の無さが、それぞれ検証可能であることを考慮に入れることにより、DNSクエリに対するマン・イン・ザ・ミドル攻撃を防止する。このセキュアな認証は、マルウェアの配布や他の問題あるインターネット行動に対抗するのに非常に重要だ。

「DNSなどにおける認証の欠陥は、個人情報、クレジットカード・データ、電子メール、ドキュメント、ストックデータおよびその他の機密情報を露出させるが、これはハッカーがアメリカの資産に侵入し、損なうための主要な技巧の一つとなっている。」

同ペーパーは2011年5月、DNSポイゾニングという愚行を強制する新たな主張に応えて公開されたもので、PROTECT IP法案におけるDNSフィルタリング要求により喚起されるセキュリティおよび他の技術的懸念というタイトルが付けられている。

「リダイレクションを強制することで、PROTECT IPはDNSSECが検出し、阻止するよう設計されている、まさにその振る舞いを義務づけ、合法化することになる」と、同ペーパーは述べている。「DNSSECに対応するブラウザ、もしくは他のアプリケーションは、無署名のレスポンスを承認しない。承認すれば、セキュアなDNSの目的を無効化してしまうからだ。DNSSECでは当然のことだが、ユーザーのDNSSECクエリへのレスポンスのリトリーブを担当するネームサーバは、それがクエリを確認可能ないかなる方法でも、代替レスポンスに署名することはない。」

(この手紙の記述が、DNSSECを全面的に採用している世界でしか当てはまらないということは、注目に値する。Sandiaが指摘している通り、大半の資産が無署名のままなら、ブラウザは無署名のレスポンスを承認するだろうからだ。)

言い換えれば、SOPAのDNS干渉メカニズムを提案している愚かな操り人形議員達は、自分達の思惑の影響が既に分かっていたからそうしたのだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  2. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×