メインコンテンツへスキップ
トップページ > JPNICライブラリ > ニュースレター > バックナンバーオンライン版 > No.22
現在、マイクロソフト セキュリティ情報 MS10-090のパッチを適用したInternet Explorer 8をお使いの方は、 JPNIC Webサイトの内容が印刷できない状態になっています。 印刷をする場合には、 Internet Explorer 8以外のブラウザを利用してください。
この不具合の詳細と、その対処方法については、 マイクロソフトのWebサイトに掲載されている以下の技術情報をご覧いただくか、 マイクロソフトのサポートセンターにお問い合わせください。
 マイクロソフトの技術情報

ニュースレターNo.22/2002年12月発行

特集1:DNS運用健全化タスクフォースの活動について

1.はじめに

日本時間の2002年10月22日の早朝5:45ごろに、世界のDNSの大元である13台のroot DNSサーバが何者かによってDDoS攻撃を受けたということが、マスメディアによって報道されました。その報道の内容は、必ずしも正確な内容を伝えておらず、ごく一部とはいえ専門家までもが冷静さに欠けるコメントを残し、さらにそれに引きずられたためか一部の過剰な反応をひき起こした感さえもあります。ただこの事件により、インターネットを支えているDNSというものに一般の耳目を集められたという点が唯一の救いかもしれません。

しかし、このような直接的な攻撃によらずとも、実はDNSが日々徐々に弱体化しつつあるということが現在起きている最大の問題です。この状況が改善されないままでは、近いうちに破綻の日が到来しても不思議ではありません。この危機を招いているのは、悪意のある攻撃者によるものなどではなく、一般のネットワーク管理者や利用者の無知や不注意によるものであることが、さらに問題を深刻にしています。具体的にはネットワーク管理者や利用者によるDNSに関してのさまざまな正しくない設定により、DNSの一部あるいは全体に多大なる負荷をかけ、全体的な能力の無駄使いを招いています。

このような状況を改善しDNS全体の運用を健全化する目的で、2002年5月より活動を開始したのがDNS運用健全化タスクフォースです。DNS運用健全化タスクフォースはJPNIC、(株)日本レジストリサービス(JPRS)、およびWIDEプロジェクトにより構成されています。

2.DNSの運用の現状

DNS(Domain Name System)の最も基本的な機能は、論理的な名前空間であるドメイン名と、インターネット上で実際に接続するために必要な情報であるIPアドレスの間の対応付け、つまり名前解決を行うことです。DNSはインターネット上の分散化されたデータベースの協調により機能が実現されています。このDNSでは正方向の名前解決以外にも、IPアドレスからドメイン名を解決する逆方向の名前解決や、電子メールのようなインターネット上のサービスのための情報を取得するためにも利用されています。つまりインターネット上で行われているサービスは、DNSによる名前解決を利用しているものがほとんどであり、DNSが正常に機能していることがインターネットそのものが問題なく利用できることの前提となっています。

このDNSに対する問い合わせとそれに対する返答は、次のような一連の手続を経て最終的な情報を入手することができるようになるのですが、そのいずれの段階においても、正しく機能が実現されている必要があります。

  1. root DNSの機能を提供するサーバに到達することができ、名前解決したいドメイン名の上位階層のDNSサーバ(主にTLDのサーバ)のデータを教えてもらいます。
  2. 教えられた上位のDNSサーバに到達し、そこで次の階層のDNSサーバを教えられ、それを辿ってその次の階層の情報を入手し、という手続を繰り返すことで、目的とするドメイン名のDNSサーバのデータを教えてもらいます。
  3. 目的とするドメイン名のサーバに到達し、必要な名前解決を行い、正しい情報を取得します。

これらの一連の手続のうち、該当するサーバに到達して通信できるようになるのは、インターネットを構成するもう一つの重要な要件である経路制御によるものですが、到達したサーバで正しい情報を教えられるかどうかは、あるいはそもそも正しいDNSに問い合わせを行っているかどうかは、DNSに関する設定が正しくなされているかによります。

一般にユーザーが普通にインターネットを利用するにあたって、特に問題なく使えることから、DNSは全体的として概ね問題なく動いているように見えます。しかし、これはDNSが持っている冗長性や頑健性のおかげであって、一見うまく動いているように見えるに過ぎないことがわかってきています。

これまでにもDNSの運用上の設定について、いくつかの調査が行われてきておりますが、それらの報告によればいずれもDNSの現状には多くの問題点が存在していることが指摘されています。その問題点は、

(1)名前解決のサービスを利用するクライアント側での設定

(2)名前解決のサービスを提供するサーバ側での設定

のいずれにおいても設定の不備により発生することがわかっていますが、DNSの健全な運用という視点から見た場合には、特に(2)のサーバ側での問題の方に特に焦点を合わせる必要があります。このサーバ側のソフトウェアとして、DNSではBIND(Berkeley Internet Name Domain)と呼ばれるInternet Software Consortium(ISC)が中心となって開発しているインプリメンテーションが広く使われています。このBINDは大きな設定上の誤りがない限りは動作するようになっており、これがDNSの運用に悪影響を与える恐れのある設定が行われている要因の一つであると考えられます。

DNSで問題のある設定によりひき起こされる現象としては、情報を獲得できるまでに通常より長い時間がかかったり、情報を獲得するのに不必要な通信が発生したり、あるいは特定のDNSサーバに対して過負荷の状態を招くことがわかっています。しかしこのような問題のある設定は、自らではなかなか気がつきにくいということがあって、なかなか改善され難いという傾向にあります。しかも、サーバとして単体それ自体の動作としては正しくとも、複数のサーバ間での整合性が取れていないために、全体の動作としては正しくないということも起こります。よくある設定上の問題点を下に示します。

DNSの問題のある設定
  • NSレコード、MXレコードで指定されたデータがCNAMEを指している
  • DNSサーバ間のNSレコードの不整合(Lame delegation)
  • "."の付け忘れ
  • SOAが不適切な値を設定している
  • 外部からネームサーバに到達できない
  • プライベートアドレスを外部に問い合わせる

3.DNS運用健全化タスクフォースの活動

これまでに述べてきたようなDNSの運用について、なんらかの働きかけを行うことなしには現状は改善しません。DNS運用の健全化のためには、現状のDNSの運用状況を観測および分析し、分析した結果を公開することにより運用状況の改善を求める必要があります。またこの活動には、DNSに関する深い知識が必要となることはもちろん、ドメイン名に関する情報へのアクセスや、稼働しているDNSサーバに対する調査、さらには日本国内に留まらず国際的な協力関係も必要となります。

これらを具体化する活動をDNS運用健全化タスクフォースは行っています。JPNICがこのタスクフォースを統括するとともにDNSサーバに関しての網羅的な調査のための対外的な関係を調整し、また広報教育活動を担い、JPドメインの管理組織との連係や試験的な運用はJPRSが行い、必要なプログラムなどの技術開発をWIDEプロジェクトが行っています。

具体的な活動内容として、

  1. DNSの設定においてチェックすべき項目の洗い出し
  2. チェックを行うツールの開発
  3. チェックツールを用いたデータの収集
  4. 収集したデータの分析
  5. 分析した結果の公開や個別の通知
  6. DNSの運用に関しての広報教育活動(文書作成やセミナー開催)

が挙げられます。今のところ、これらの活動をいくつか並行しながら作業を進めている段階にあります。また、DNSサーバのチェックの方法としては、ドメイン名のリストに基づいて網羅的に行うアクティブなチェックと、DNSサーバの管理者自らが自サーバをチェックできるような手段の提供によるパッシブなチェックの2つの方法がありますが、現在はいずれにも対応できるようにツールの準備を進めています。

ただし、現実問題として網羅的なチェックについては、対象となる組織も多い上に調整すべき事項も多々あり、またチェックにより得られた情報の取り扱いは適切に行う必要もあるため、関係者で慎重に検討を行っています。

4.活動のスケジュール

これまでの活動については、2002年7月に開催されたJANOG-10で、タスクフォース設立についてのアナウンスを行いました。

今後の予定として、2002年12月にはこれまでの活動に基づいた中間報告をInternet Week 2002の期間中に開催されるIP Meetingにおいて行う予定です。さらに期間中のJPNIC主催のDNS Dayの中で関連するセミナーを計画しております。さらに2002年度の活動のまとめとして2003年3月に最終報告を行う予定で準備しています。

実際の健全化の作業の進行状況については、チェックツールの試作が終わり、いくつかのDNSサーバのチェックを試行している段階にあります。また、パッシブなチェックの環境提供の準備を行っています。

この一連の活動の中で、一部の会員の方にはDNSのチェックに関して何らかのお願いをする場合もありますので、是非ご理解のうえ協力をお願いいたします。

ただ、運用健全化の活動は一度行えば終わりという種類のものではなく、現在のDNSがドラスティックに構造変化をしない限りは、定期的にチェックを行う必要があります。このため、2003年4月以降の活動については、運用健全化のための活動を恒常的に継続するための方策について、JPRSを中心としてたフレームワークを現在検討しており、最終報告ではその方向性が提案される予定です。

5.おわりに

DNSを基盤としたうえでの新たなサービスとして、多言語ドメイン名やENUMでの利用が検討され、また一部には実際の利用が開始されています。これらはDNSに対してどのようなインパクトを与えるか、実のところまだ良くわかっていません。場合によっては、なんらかの大きな問題を引き起こすかもしれません。

しかし、それ以前に現状稼働しているドメイン名からIPアドレスの対応付けを行う名前解決のサービスにおいても、実際のところDNSは設定の問題により必ずしも健全な状態にあるとはいえないことがわかってきています。

これからもDNSを利用したサービスを安定に利用できるようにするためには、DNSに関わるすべての人の協力が不可欠となります。皆様の運用健全化の活動への協力をお願いします。また、これを機にすべてのDNS関連の設定をすべて見直してみませんか?

このページを評価してください
このWebページは役に立ちましたか?
役に立った。
役に立たなかった。
どちらとも言えない。

ページの改良点等がございましたら自由にご記入ください。
  • このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。
  • 文中でのHTMLタグ使用はご遠慮ください。
ページトップへ