情報セキュリティ講座(94) DNSのセキュリティ
情報セキュリティ講座(95) DNSのセキュリティ
DNS(Domain Name Service)は、ドメイン名からIPアドレスを変換する機能です。ここを悪意で変更すれば、ユーザを悪意のあるサイトに誘導することができます。DNSはUDP上で動くため、攻撃に比較的弱いという特徴があるため、情報セキュリティ対策が必要です。
DNSは、コンテンツサーバとキャッシュサーバで構成されます。キャッシュサーバは同じ問い合わせに対しては、オリジナルの情報が格納されたサーバ(コンテンツサーバ)に問い合わせなくとも、その場で回答するものです。キャッシュサーバは攻撃にさらされやすく、DNSキャッシュポイズニングという、キャッシュを書き換える攻撃が有名です。
対策として、コンテンツサーバとキャッシュサーバを分けて、さらにキャッシュサーバは公開しない、という対策が考えられます。
DNSSEC(DNS Security Extention)は、クライアントとサーバのドメインが登録されていれば、DNS応答レコードの偽造や改ざんを検知できます。