セキュアなDNSを容易にするオープンソースプロジェクトの目的

OpenDNSSECと呼ばれるこのソフトウェアは、多くのタスクを自動化します。（

）開発者のグループは、管理者がインターネットのアドレス指定システムをハッカーに対して脆弱にする手助けをするオープンソースソフトウェアをリリースしました。このプロジェクトに取り組んでいるDNSコンサルタントのJohn A. Dickinsonは、DNS（ドメインネームシステム）レコードにデジタル署名を付けるための一連のプロトコルであるDNSSEC（Domain Name System Security Extensions）

DNSレコードを使用すると、Webサイトを名前からIP（Internet Protocol）アドレスに変換することができます。このアドレスは、コンピュータによって照会することができます。しかし、DNSシステムには、オリジナルのデザインから、ハッカーの標的となっている脆弱性がいくつかあります。

[詳しい情報：Windows PCからマルウェアを削除する方法]

DNSサーバーを改ざんすると、ユーザーは正しいWebサイト名を入力するが、キャッシュポイズニングと呼ばれる攻撃の一種である不正なサイトに誘導することができます。 DNSSECを使用すると、DNSレコードに暗号署名され、その署名が検証されて情報が正確であることが確認されます。しかし、DNSSECの採用は、実装の複雑さと単純なツールの欠如の両方によって阻まれているとディキンソン氏は述べている。DNSレコードに署名するために、DNSSECは公開鍵暗号を使用している。ゾーンレベルで実装されています。問題の一部は、高度なセキュリティを維持するために定期的にリフレッシュする必要があるため、これらのキーの管理であるとディキンソン氏は述べています。

管理者はOpenDNSSECを使用してポリシーを作成し、鍵の管理とレコードの署名を自動化することができます.Dickinson氏によると、これらの鍵を管理する間違いは重大な問題を引き起こす可能性があります。

OpenDNSSECは、ゾーンが恒久的にポリシーに従って適切に署名された状態を維持するように配慮しています」とディキンソン氏は述べています。 「このすべては完全に自動化されており、管理者はDNSに専念でき、バックグラウンドでセキュリティを稼働させることができます」。このソフトウェアには、管理者がハードウェアまたはセキュリティソフトウェアモジュールDickinson氏によると、OpenDNSSECソフトウェアは、技術プレビューとして提供されているものの、ダウンロードすることが可能であり、まだ使用されるべきではないDickinsonは言った。開発者はこのツールに関するフィードバックを収集し、近い将来に改良版をリリースする予定です。

今年の初め、「.com」で終わるようなトップレベルドメインのほとんどは暗号署名されておらず、 DNSルートゾーンには、特定のドメインのアドレスを検索するためにコンピュータがアクセスできるマスターリストが含まれています。 ".com"のレジストリであるVeriSignは、2月に2011年までに.comを含むトップレベルのドメイン間でDNSSECを実装すると述べている。

他の組織もDNSSECの利用に動いている。米国政府は、 ".gov"ドメインにDNSSECを使用することを約束しています。スウェーデン（.se）、ブラジル（.br）、プエルトリコ（.pr）、ブルガリア（.bg）の他のccTLD（country-code Top-Level Domains）オペレータもDNSSECを使用しています。 DNSSECは、DNSの既存の脆弱性が原因で、遅かれ早かれ早期に使用されるべきです。より深刻な問題の1つは、2008年7月のセキュリティ研究者Dan Kaminskyによって明らかにされました。彼は、DNSサーバーが、電子メールシステム、ソフトウェア更新システム、およびパスワードに対するさまざまな攻撃に使用される不正確な情報ですばやく満たされる可能性があるWebサイト上のリカバリシステム。

オランダの研究教育機関であるサーフネット（SurfNet）が今年初めに発表したホワイトペーパーによると、一時的なパッチは展開されているが、攻撃を実行するのに時間がかかり、長期的な解決策ではない。 SurfNetはOpenDNSSECの支持者の一人であり、 ".uk"レジストリNominet、NLnet Labs、SIDN、 ".nl"レジストリも含まれています。

DNSSECを使用しない限り、 "Domain Name Systemの基本的な欠陥 - 質問に対する回答が本物であることを確実にする方法は存在しない」と述べた。