ハーバード大学の研究者グループによると、現在、世界トップ8のDNSプロバイダーが最大手のウェブサイトの名前解決の59%を管理しており、これがウェブを危険にさらしているという。
このグループはハーバード大学のシェーン・グリーンスタイン氏が率いており、2011年以降、DNSの「エントロピー」(DNSがどれだけ広く分散しているかを指す)が低下し、「少数の有力なクラウドサービス企業」に集中するようになったと警告した。
この状況では、攻撃者がこれらの DNS サービスの弱点を見つけた場合に脆弱性が生じると、同グループの研究論文 (PDF) は主張している。
DNS ([removed-link] のような人間が読める URL を IP アドレスに変換するデータベース) は常に高度に分散されるように設計されています。これは、すべてのリクエストが権威サーバーへのあらゆる可能なリンクを通過すると、システムが対応できなくなるためです。
Dynを倒したインターネット・オブ・クソデバイスの数は?想像より少ない
続きを読む
DNS は、ルート サーバーとトップレベル ドメイン (TLD) サーバーの負荷 (およびサーバーへの依存度) を軽減するためにインターネット全体にレコードをキャッシュしますが、グリーンスタインの論文では、クラウド サービスを提供する企業が顧客にとって物事を非常に簡単にしているために、逆説的に多様性が低下していると主張しています。「Amazon Web Services、Akamai、Dyn などの企業は、他のクラウド サービスとともに、拡張可能で多くの場合簡単に構成できる外部 DNS ホスティング オプションを提供しており、DNS 管理のオフロードがこれまで以上に簡単になっています。」
その集中度を測るため、グリーンスタインのチームは、2011年11月から2017年5月まで毎月、.com、.net、.org TLDのAlexaのトップ1,000ドメインをサンプリングし、各ドメインのネームサーバー情報を収集した。
このデータは統計計算に入力され、市場集中度の指標であるハーフィンダール・ハーシュマン指数(HHI)が算出されました。これは反トラスト法に関する文献で用いられる標準的な指標であり、米国司法省と連邦取引委員会でも使用されています。
HHI の上昇は悪い兆候ですが、下の画像が示すように、研究者はまさにそれを発見しました。
DNSにおける集中度(HHI)の上昇は、攻撃を受けた際に悪影響を及ぼします。画像:Greenstein他
サンプルには、Dyn、Neustar、AWS、Akamai、Ultra DNS、CloudFlare などの名前が含まれていました。
研究チームは、測定した名前空間について、上位8社のプロバイダーの市場シェアが2011年から2017年にかけて24%から59%に拡大し、上位4社は17%から50%近くに増加したことを発見した。
同紙は「サンプル中のトッププロバイダーは、2011年11月に4.9%の株式を保有し、2017年5月には17.3%の株式を保有していた」と報じた。
彼らが発見したもう 1 つの傾向は、使いやすいクラウド サービスが溢れる世界では、予想通り、外部の DNS ホスティングが社内の DNS サーバーを上回っているというものでした。
Mirai 型のボットネットによって DNS プロバイダーが攻撃される危険にさらされるのではないかと心配している企業にとって、解決策は簡単だとこの論文は述べている。
組織はDNS管理サービスを複数のプロバイダーから取得することで、ネームサーバープールを分散させるべきだと報告書は述べている。1日のダウンタイムにかかるコストと比較すると、これは「比較的コストがかからず、それゆえに非常に稀な決定」である。®
