情報セキュリティ講座(94)　DNSのセキュリティ

情報セキュリティ講座(95)　DNSのセキュリティ

DNS(Domain Name Service)は、ドメイン名からIPアドレスを変換する機能です。ここを悪意で変更すれば、ユーザを悪意のあるサイトに誘導することができます。DNSはUDP上で動くため、攻撃に比較的弱いという特徴があるため、情報セキュリティ対策が必要です。

DNSは、コンテンツサーバとキャッシュサーバで構成されます。キャッシュサーバは同じ問い合わせに対しては、オリジナルの情報が格納されたサーバ(コンテンツサーバ)に問い合わせなくとも、その場で回答するものです。キャッシュサーバは攻撃にさらされやすく、DNSキャッシュポイズニングという、キャッシュを書き換える攻撃が有名です。

対策として、コンテンツサーバとキャッシュサーバを分けて、さらにキャッシュサーバは公開しない、という対策が考えられます。

DNSSEC(DNS Security Extention)は、クライアントとサーバのドメインが登録されていれば、DNS応答レコードの偽造や改ざんを検知できます。