科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.06.21(木)

科学者たち:SOPAがDNSSECを破壊するも、どのみち効果無し~終端間プロトコルにマン・イン・ザ・ミドルを持ち込むのは愚か(The Register)

国際 TheRegister

実際のところ、それ自体ニュースではないが、DoE(米エネルギー省)のSandia Labsが、悪名高きStop Online Piracy Act(ネット規制法案)はセキュアなDNS(その陣営ではDNSSEC)の実装に対する脅威であると警告する一方、同プロトコルの脆弱さに関しては長年議論されている。

問題なのは、ブラウジング・セッションが偽のDNSレコードにより途中でハイジャックされていないことを保証する、もっとも単純な方法が終端間プロトコルだということだ。Sandiaの手紙はその意味で、既に分かっていることをくり返し述べているに過ぎない。

DNSSECは、まさにこうした終端間プロトコルを提案している。今日の不安定な世界で、一般のエンド・ユーザーにとって、それが192.168.1.10(註)ではなく、本当に192.168.0.10なのかを確かめる機会はごくわずかしか無いが、これがDNSハイジャックを可能にし、DNSSECを無くてはならないものにしている。

このセキュアなバージョンのDNSは、DNSと同じ基本機能を実行する。すなわちこれも、人間がブラウザ・バーにhttp://www.theregister.co.uk/と入力することが可能で、実際にコンテンツを入手するため92.52.96.89に向かわせる、分散型のクエリ対応データベースだということだ。しかしこの場合、レゾリューションで使用されるドメイン・レコードが、暗号によって署名されていることが必須だ。

Sandiaが引用しているこの文書では、以下のように書かれている:

「信頼できるネームサーバと要求元アプリケーションの間でエンド・ツー・エンドで実行される場合、DNSSECはDNSレコードの信頼性と偽データの信頼性の無さが、それぞれ検証可能であることを考慮に入れることにより、DNSクエリに対するマン・イン・ザ・ミドル攻撃を防止する。このセキュアな認証は、マルウェアの配布や他の問題あるインターネット行動に対抗するのに非常に重要だ。

「DNSなどにおける認証の欠陥は、個人情報、クレジットカード・データ、電子メール、ドキュメント、ストックデータおよびその他の機密情報を露出させるが、これはハッカーがアメリカの資産に侵入し、損なうための主要な技巧の一つとなっている。」

同ペーパーは2011年5月、DNSポイゾニングという愚行を強制する新たな主張に応えて公開されたもので、PROTECT IP法案におけるDNSフィルタリング要求により喚起されるセキュリティおよび他の技術的懸念というタイトルが付けられている。

「リダイレクションを強制することで、PROTECT IPはDNSSECが検出し、阻止するよう設計されている、まさにその振る舞いを義務づけ、合法化することになる」と、同ペーパーは述べている。「DNSSECに対応するブラウザ、もしくは他のアプリケーションは、無署名のレスポンスを承認しない。承認すれば、セキュアなDNSの目的を無効化してしまうからだ。DNSSECでは当然のことだが、ユーザーのDNSSECクエリへのレスポンスのリトリーブを担当するネームサーバは、それがクエリを確認可能ないかなる方法でも、代替レスポンスに署名することはない。」

(この手紙の記述が、DNSSECを全面的に採用している世界でしか当てはまらないということは、注目に値する。Sandiaが指摘している通り、大半の資産が無署名のままなら、ブラウザは無署名のレスポンスを承認するだろうからだ。)

言い換えれば、SOPAのDNS干渉メカニズムを提案している愚かな操り人形議員達は、自分達の思惑の影響が既に分かっていたからそうしたのだ…

※本記事は有料版に全文を掲載します

© The Register.


(翻訳:中野恵美子
略歴:翻訳者・ライター
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×