DNS安全管理、中国の焦眉の急に
2014年 3月27日 柳珺(中国総合研究交流センター フェロー)
1月21日午後3時、中国国内のトップレベルドメイン(TLD)のサーバに異常が発生した。その結果、全国約3分の2のドメインネームシステム(DNS)の解析に失敗し、数 千万人のネットユーザからインターネットへの接続ができなくなった。ルートサーバはDNSのうち最高クラスのドメインサーバで、世界に13台しか存在しない。そのうちメインサーバは米国に1台、補 助サーバは米国に9台、スウェーデン、オランダ、日本にそれぞれ1台ずつある。専門家がDNSに対する分析を進めたところ、世界の少なくとも2つのルートサーバに故障があり、中 国国内の大量のウェブサイトへ正常にアクセスできなくなった。
DNSの解析は、ナビゲーションや看板と同じ役割を担っており、ユーザのアクセスしたウェブサイトのドメイン名を正確なIPアドレスに導く。DNS乗っ取りには2つの悪影響がある。ま ずはウェブサイトへアクセスの不可、それからハッカーによる不正サイトへの誘導だ。ハッカーはこれによりユーザ登録情報を盗み取り、情報漏洩および財産の損失を生じさせる。しかし今回の事件において、多 くのウェブサイトは65.49.2.178というIPアドレスに誘導されたが、同アドレスは公式サイトを装い登録させることがなかったため、さらに大きな被害は発生しなかった。
最近中国国内で頻繁に発生している、重大なネットセキュリティ問題は、いずれもDNSというキーワードと結びついている。
多くのネットユーザは2013年8月に、インスタントメッセンジャー・「QQ空間(QQZone)」にアクセスしたところ、音楽番組「中国好声音」の偽造抽選ページが表示されたと報告した。ネ ットセキュリティ最大手、奇虎360のセキュリティセンターが分析を進めたところ、ユーザが家庭内で使用しているルータのDNSが、ハッカーの攻撃により書き換えられていたことが分かった。家 庭用ルータに安全の不備が存在する場合、ある特定の不正サイトにアクセスすると、DNSが書き換えられる可能性がある。被害者はドメイン名によりウェブサイトにアクセスした場合、偽 造されたウェブサイトに強制的に誘導される。ハッカーはこれにより大量の利益を獲得できる。
詳細な調査によると、ルータのDNSが書き換えられるのは、製造者側の設定した初期パスワードを変えていないからだ。ハッカーはルータのパスワードの不備につけ込み攻撃を仕掛け、ユ ーザはネット利用時に知らぬ間に罠にかかってしまう。奇虎360のセキュリティセンターが発表したルータ安全調査報告書によると、市販ルータ製品の344品名のうち、1 04品名にパスワード漏れの影響を受けており、全体の30.2%を占めた。また全国4.7%の家庭用ルータのDNSが、ハッカーに書き換えられていたという。
家庭用ルータのハッキングの可能性に対しては、次のいくつの手段により予防ができる。まずは早急にルータの初期パスワードを変更し、なるべく分かりにくい複雑なパスワードを利用する(10文字以上、ア ルファベットと数字を組み合わせる)。またルータのMACフィルタ機能を有効にし、ルータが管理する初期IPアドレスを別のLANのIPアドレスに変更する。ワイヤレス機能を持つルータのSSIDを隠蔽する―な どが挙げられる。他にもネットセキュリティソフトを使用しチェックする方法もある。
TLDルートサーバの大規模な故障について、中国は未だDNSに対するモニタリングおよび対策の枠組みを構築しておらず、将来同じような故障が発生する可能性がある。ルートサーバはすべて米国、日本、欧 州に分布しているため、中国はほとんど支配権を持たない。ルートサーバに故障が発生した場合、中国のすべてのドメインの解析とウェブサイトの利用が壊滅的な影響を受ける。ゆえに中国国内で、ル ートサーバの早期建設を着手すると同時に国家政策のレベルから、DNSを対象とするモニタリングおよび対策の整った枠組みを構築する必要があると専門家は指摘している。