南カリフォルニア大学の情報科学研究所の研究者らが6年4カ月分のデータを分析した結果、DNSスプーフィングは珍しいものの、その間に倍増していることがわかった。
「今日では、スプーフィングはまれであり、観測データの約1.7%にしか発生していないことを示しています」と、博士課程のラン・ウェイ氏とコンピュータサイエンス研究教授のジョン・ハイデマン氏は、ArXivで公開されたワーキングペーパーの中で説明しています。「しかし、DNSスプーフィングの発生率は7年足らずで2倍以上に増加しており、世界中で発生しています。」
ドメインネームシステム(DNS)は、人間が理解しやすいドメイン名(例:theregister.com)をコンピュータが理解しやすい数値のIPアドレス(例:104.18.4.22)に変換します。これにより、ネットユーザーはブラウザやその他のソフトウェアを、この地味な器官のようなインターネット上の特定のサービスに誘導することができます。DNSは1980年代に設計されましたが、その統括機関であるICANNは「セキュリティは設計において最優先事項ではなかった」と述べています。
その結果、セキュリティ保護がなければ、なりすましが容易になり、第三者がDNSクエリを傍受して、良くも悪くも異なる結果を返すことが可能になります。例えば、あるウェブサイトを検索しようとした際に、ネットワークパス上の何かが割り込んできて、別のサイトを指すIPアドレスで応答する可能性があります。
米国の学者らは論文の中で、「DNSスプーフィングは、トラフィックのプロキシ、傍受、変更、DNSインジェクション(公式サーバーよりも早く応答を返す)、あるいはエンドホストの設定変更によって実行できる」と説明している。
暗号化はどうなっているんだ?DNSリクエストは定期的に監視されていると専門家が主張
デジャニュース
この行為はプライバシーとセキュリティの両方にとってリスクとなります。ユーザーは必ずしも、第三者にDNSクエリを知られたり、マルウェアに感染したサイトを指すアドレスのような悪意のあるリソースでクエリに応答したりすることを望んでいるわけではありません。DNSスプーフィングは検閲にも利用される可能性があります。
「私にとって驚いたのは、なりすましが予想以上に蔓延していたことです」と、ハイデマン氏はThe Register紙との電話インタビューで語った。「多くの国でその事例を目にしました。」
スプーフィングは必ずしも悪意のある行為ではありません。キャプティブポータル経由でインターネットアクセスを提供するコーヒーショップやホテルでよく行われます。インターネットサービスプロバイダーがDNSクエリへの応答を迅速化するために行う場合もあります。あるいは、特定の国の検閲法を遵守するために行われる場合もあります。
ハイデマン氏は、インドネシアとイランには、スプーフィングを示す有利な地点、具体的にはパブリック DNS リゾルバが最も多く存在していたと指摘した。
「政府がDNSを操作してフィルタリングを行うべきではないと考える限り、なりすましの証拠は問題となる」と同氏は語った。
同時に、ハイデマン氏は、インターネット広告会社がウェブ上の誤字脱字に反応して広告を販売するためにDNSを偽装していることが知られていると述べた[PDF]。「DNSスプーフィングが悪意を持って利用された事例は確かにある」とハイデマン氏は述べた。
私はこの問題に対処するメカニズムとしてDNSSECを推奨します。DNSSECはDNSクエリに対する正しい回答を得たことを証明できるためです。
論文によると、スプーフィングが検出された10件ごとに、DNSトラフィックを遅延させながらも変更せずに通過させる第三者である「隠れた遅延者」が特定されたという。ハイデマン氏は、なぜこのような行為を行うのか明確な理由はないとしながらも、「何らかのアプリケーション層の評価を示唆している可能性がある」と推測した。
ハイデマン氏は、この研究論文ではDNSスプーフィングの増加の具体的な理由は特定されていないものの、世界中でインターネットの重要性が高まっていることが原因だと示唆した。「一般的に、インターネットは人々の生活にますます浸透しており、その結果を制御したいという関心は時間とともに高まっています」とハイデマン氏は述べた。
この論文では、なりすましに対する一定の保護機能を提供するDNSSECと呼ばれるプロトコルの存在を指摘しています。DNSSECがまだ普及していない理由の一つは、コンテンツ配信ネットワーク(CDN)で使用されるDNSベースのリダイレクト技術との統合が困難であることが判明していることです。昨年、ICANNは各組織に対し、DNSSECの実装を加速するための更なる取り組みを強く求めました。
「DNSSECは、DNSクエリに対する正しい回答を得たことを証明できるため、この問題に対処するメカニズムとして推奨します」とハイデマン氏は述べた。「私たちの論文は、DNSSECを使用する小さいながらも説得力のある理由があることを示しています。」®
