問題なのは、ブラウジング・セッションが偽のDNSレコードにより途中でハイジャックされていないことを保証する、もっとも単純な方法が終端間プロトコルだということだ。Sandiaの手紙はその意味で、既に分かっていることをくり返し述べているに過ぎない。
DNSSECは、まさにこうした終端間プロトコルを提案している。今日の不安定な世界で、一般のエンド・ユーザーにとって、それが192.168.1.10(註)ではなく、本当に192.168.0.10なのかを確かめる機会はごくわずかしか無いが、これがDNSハイジャックを可能にし、DNSSECを無くてはならないものにしている。
このセキュアなバージョンのDNSは、DNSと同じ基本機能を実行する。すなわちこれも、人間がブラウザ・バーにhttp://www.theregister.co.uk/と入力することが可能で、実際にコンテンツを入手するため92.52.96.89に向かわせる、分散型のクエリ対応データベースだということだ。しかしこの場合、レゾリューションで使用されるドメイン・レコードが、暗号によって署名されていることが必須だ。
Sandiaが引用しているこの文書では、以下のように書かれている:
「信頼できるネームサーバと要求元アプリケーションの間でエンド・ツー・エンドで実行される場合、DNSSECはDNSレコードの信頼性と偽データの信頼性の無さが、それぞれ検証可能であることを考慮に入れることにより、DNSクエリに対するマン・イン・ザ・ミドル攻撃を防止する。このセキュアな認証は、マルウェアの配布や他の問題あるインターネット行動に対抗するのに非常に重要だ。
「DNSなどにおける認証の欠陥は、個人情報、クレジットカード・データ、電子メール、ドキュメント、ストックデータおよびその他の機密情報を露出させるが、これはハッカーがアメリカの資産に侵入し、損なうための主要な技巧の一つとなっている。」
同ペーパーは2011年5月、DNSポイゾニングという愚行を強制する新たな主張に応えて公開されたもので、PROTECT IP法案におけるDNSフィルタリング要求により喚起されるセキュリティおよび他の技術的懸念というタイトルが付けられている。
「リダイレクションを強制することで、PROTECT IPはDNSSECが検出し、阻止するよう設計されている、まさにその振る舞いを義務づけ、合法化することになる」と、同ペーパーは述べている。「DNSSECに対応するブラウザ、もしくは他のアプリケーションは、無署名のレスポンスを承認しない。承認すれば、セキュアなDNSの目的を無効化してしまうからだ。DNSSECでは当然のことだが、ユーザーのDNSSECクエリへのレスポンスのリトリーブを担当するネームサーバは、それがクエリを確認可能ないかなる方法でも、代替レスポンスに署名することはない。」
(この手紙の記述が、DNSSECを全面的に採用している世界でしか当てはまらないということは、注目に値する。Sandiaが指摘している通り、大半の資産が無署名のままなら、ブラウザは無署名のレスポンスを承認するだろうからだ。)
言い換えれば、SOPAのDNS干渉メカニズムを提案している
※本記事は有料版に全文を掲載します
© The Register.
(翻訳:中野恵美子)
略歴:翻訳者・ライター