国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
知識重要技術DNSSECって何? トップページへ戻る
重要技術DNSSECって何?
DNSSECって何?

一般利用者向け
インターネットの仕組み
DNSに関するセキュリティ上の脅威
DNSのセキュリティ上安全な仕組み(DNSSEC)

サーバー管理者向け
DNSSEC対応のために必要なこと
参考資料

DNSSECって何?

DNSキャッシュポイズニングとは?
 2回目以降にWebサイトへアクセスする場合に、キャッシュDNSサーバーに保存されているIPアドレスを確認することになります。
 そのキャッシュDNSサーバーに対して、偽の情報をキャッシュさせることにより、問い合わせた人に偽のIPアドレスで応答してフィッシング詐欺サイトにアクセスさせることが、DNSへのキャッシュポイズニングです。

DNSへのキャッシュポイズニングの方法
 DNS キャッシュポイズニングによって偽のDNS情報が仕込まれたキャッシュDNS サーバーでは、そのDNS情報は「本物」として扱われてしまい、偽のDNS情報であるということが受け取り側では判別できません。このため、偽のDNS情報を信じてWebサイトにアクセスをしようとしたユーザーがフィッシング詐欺サイトに誘導されたり、電子メールが第三者に詐取されたりといった被害が発生する可能性があります。

DNSへのキャッシュポイズニングの方法

 DNSキャッシュポイズニングの方法でISPのキャッシュDNSサーバーが狙われた場合、ISPの利用者全員が被害に遭うことになります。

DNSキャッシュポイズニングの特徴

・ユーザが正常なアクセスを行っても、フィッシング詐欺サイトに誘導される
−攻撃されたことに気付きにくい
・同じキャッシュサーバーのユーザ全員が影響を受ける
ISPのキャッシュサーバーが攻撃されると被害が甚大
・攻撃そのものの検出が容易ではない
キャッシュへの攻撃は、見た目は通常のDNSパケットであるため、正常な応答と攻撃の別が容易ではない。

DNSキャッシュポイズニングの対策方法

・他者からの攻撃手法への対策
−攻撃成功確率を下げるパッチや、その手法を取り込んだ実装の採用
※ただし、対症療法であり、執拗な攻撃には無力
・キャッシュポイズニングへの根本対策
−DNSプロトコルそのものが持つぜい弱性であり、完全対処にはDNSのセキュリティ面でのプロトコル拡張が必要

→このための技術がDNSSEC

 このため、DNS応答の偽装を防止するための技術である「DNSSEC(DNS Security Extensions)」の標準化作業と開発が、インターネット技術の標準化推進団体であるIETFにおいて進められてきました。

国民のための情報セキュリティサイトトップへ