ほとんどの人の DNS クエリ (ブラウザやその他のソフトウェアがドメイン名を IP アドレスに解決する) は、インターネット上を流れている間は保護されないままです。
驚くことではないかもしれませんが、DNS トラフィックを保護するために提案されている標準 (DNSSEC や DNS-over-HTTPS など) はまだ完全には完成しておらず、広く採用されていないからです。
DNSSECは、傍受されたドメイン名検索の応答にデジタル署名を付与することで、不正な改ざんを防ぐことを目的としています。これにより、偽造されたドメイン名はソフトウェアによって容易に特定されます。DNS-over-TLSとDNS-over-HTTPSも同様の目的を持ち、クエリを暗号化することで、ネットワーク上の盗聴者がユーザーが訪問しているサイトを盗み見ることを不可能にします。
これらの安全対策が広く(またはまったく)使用されなければ、DNS トラフィックは暗号化も認証もされないままとなり、スパイ行為や改ざんによって、正当なサイトを装った悪質な Web サイトにユーザーをリダイレクトされる可能性があります。
中国と米国の大学の研究者らは最近、これが実際に起こっているのかどうかを調べることにし、世界中の住宅および携帯電話の IP アドレスのサンプルで、DNS クエリの小さいながらもかなりの部分 (TCP 経由の DNS リクエストの 0.66%) でトラフィック傍受が現実に起こっていることを発見しました。
中国の清華大学のBaojun Liu氏、Chaoyi Lu氏、Haixin Duan氏、Ying Liu氏、テキサス大学ダラス校のZhou Li氏とShuang Hao氏、中国の復旦大学のMin Yang氏らの研究者は、今週開催されたUSENIXセキュリティシンポジウムで発表された論文の中で、調査の結果を説明しています。
論文「私のクエリに答えているのは誰か: DNS 解決パスの傍受の理解と特徴づけ」では、研究者らが世界中の 148,478 個の住宅および携帯電話の IP アドレスにわたって DNS 傍受を測定するシステムをどのように構築したかが説明されています。
インターネットユーザーは、アプリケーションやオペレーティングシステムをGoogle Public DNS(8.8.8.8)やCloudflare(1.1.1.1)などに手動で設定することで、独自のDNSリゾルバを選択できます。しかし、通常は、ネットワークやISPが自動的に提供するDNSリゾルバを受け入れます。
仲介者がDNSリクエストを傍受した場合、必ずしも悪意のある行為とは言えませんが、望ましくない結果につながる可能性があります。少なくとも、インターネット利用者から選択権とプライバシーを奪うことになります。
研究者たちは、ユーザーが指定したDNSリゾルバのIPアドレスを偽装し、DNSトラフィックを密かに傍受するプロバイダを探した。彼らは、コンテンツ検閲メカニズムの影響を回避するため、登録済みドメインに焦点を当て、センシティブなキーワードを除外する研究を計画した。
調査対象となった3,047のサービスプロバイダーASコレクションのうち、259(8.5%)でDNSクエリの傍受が発見された。(研究論文では「AS」という用語を使用している。ASとは自律システムの略で、ISPやその他の組織に割り当てられたIPアドレスブロックのコレクションを指すネットワーク用語である。)
UDPは123と同じくらい簡単
Google Public DNSに送信されたパケットに関しては、UDPベースのパケットの27.9%が傍受されたのに対し、TCP経由で送信されたデータは約7.3%だったと主張されている。(研究者らによると、DNSリクエストのほとんどはUDP経由で送信され、UDPトラフィックの傍受は技術的に容易である。)
Google DNSは、サービスプロバイダにとって傍受の標的として特に魅力的であるようだ。「また、82のASがGoogle Public DNSに送信されるDNSトラフィックの90%以上を傍受していることも判明した」と研究者らは論文で述べている。
ICANNのアドバイザーがルートサーバーの刷新を検討、DNSアドホクラシーが危機に
続きを読む
米国の Comcast Cable Communications が、Google Public DNS トラフィックの一部を傍受していたことが判明した AS7922 の管理者として挙げられています。
「このASからGoogle DNSに送信された13,466件のDNSリクエストのうち、72件(0.53%)がリダイレクトされ、Google外部の代替リゾルバが実際に当社の権威ネームサーバーに問い合わせている」と論文には記されている。
研究者らは、傍受を処理するオンパスデバイスがこの AS の限られた数のサブネットワークにのみ導入されていると推測しており、これらのデバイスを導入したのは Comcast 自身ではなく同社の顧客である可能性があると認めています。
中国の通信事業者は、最も多くの傍受を行っていると指摘されています。例えば、チャイナモバイルは、営利目的のDNS改ざんに関与した疑いで特に指摘されています。
「例えば、Google Public DNSからの8つの応答はAS9808(Guangdong Mobile)で改ざんされており、China MobileのAPPを宣伝するウェブポータルを指している」と論文は述べている。
暗号化
クラウドフレアの暗号化責任者ニック・サリバン氏は、 The Registerへの電子メールで、DNS の暗号化と認証の欠如は、インターネットの未修正のバグの中で最大のものの一つであると広く認識されていると述べた。
「このバグは様々な理由でネットワークによって悪用されることが知られていますが、ネットワークがDNSクエリをどの程度傍受しているかはよく分かっていません」と彼は述べた。「この論文は、インターネットにおけるDNS傍受の蔓延に関する最も広範な測定研究の一つであるため、重要です。」
サリバン氏は、場合によっては傍受率がいかに高いかに驚いたと述べた。
「研究者たちは、一般的なパブリックDNSリゾルバへのDNSクエリの傍受率が全体的に高く、一部のネットワークでは100%に達することを発見しました」と彼は述べた。「傍受されたDNSクエリのすべてが改変または記録されたわけではありませんが、その可能性はあります。これはオンラインのプライバシーとセキュリティに重大な影響を及ぼします。これらの発見は、DNSを暗号化されていないプロトコルから、強力な暗号化と認証技術によって保護されたプロトコルに移行することで、このバグを修正する必要性を加速させています。」®
