1 経緯
インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。
今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界的な更改に向けてICANNにおいて準備が進められてきました。更改の際には、キャッシュDNSサーバーを運用する方(契約者向けにサービス提供するインターネットサービスプロバイダ(ISP)、LAN利用者向けにサービス提供する企業、教育機関、官庁、独法等)にて事前の処置が必要となる場合があることから、総務省では注意喚起※2を行ってきたところです。
なお、ICANNは、当初、昨年10月にルートゾーンKSKの更改を予定していましたが、ISP等における世界的な準備状況を考慮して更改を延期し、更改に向けた作業を引き続き継続してきました。このたび、ICANNは、更改の準備が整ったものと判断し、本年10月12日午前1時(日本時間)に実施することを正式に決定したものです。
2 ルートゾーンKSKの更改に向けた準備について
下記(1)の対象者の条件に合致する場合には、ルートゾーンKSKの更改に向けて作業が必要となる場合があります。
(1)対象者
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーを運用している方。
(2)影響
本年10月12日午前1時(日本時間)のルートゾーンKSKの更改後48時間以内に、未処置のキャッシュDNSサーバーを利用する者によるウェブサイトへのアクセスやメールの送信ができなくなるなどの問題が生ずる可能性があります。
(3)対応
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーについて、トラストアンカーのルートゾーンKSKの公開鍵の情報が更新されているか御確認ください(設定によっては自動的に更新が行われていることもあります)。
当該情報が更新されていない場合には、(2)で記載した問題が生ずる可能性がありますので、公開鍵情報を更新するなどの処置が必要になります。処置の方法は、キャッシュDNSサーバーの実装によって異なりますので、各自でご確認いただくか、運用委託先などへご相談ください。
その他、影響の詳細等については、ICANNによるガイド(下記3参照)や平成29年7月21日付総務省報道発表資料※2別紙を参照ください)。
3 参考