IIJ、接続サービスで提供するDNSのセキュリティを強化 | IIJについて

最新のDNSプロトコル（DoT、DoH）およびDNSSECをDNSキャッシュサーバに導入し、安全性を向上

2020年1月16日

このニュースのPDF版 [512KB]

English Version

株式会社インターネットイニシアティブ（IIJ、本社：東京都千代田区、代表取締役社長：勝栄二郎）は、お客様のインターネット利用時の安全性を高めるため、IIJのインターネット接続サービスで提供しているDNS（Domain Name System）のキャッシュサーバにおいて、最新の標準プロトコル「DoT（DNS over TLS）」、「DoH（DNS over HTTPS）」および「DNSSEC（DNS Security Extensions）」に対応し、本日より提供開始いたします。

DNSのセキュリティ課題と業界標準の動き

DNSはドメイン名とIPアドレスを紐づけるための仕組みで、お客様がWebサイトにアクセスする場合、PCやスマートフォンからDNSキャッシュサーバに問い合わせを行い、DNSの応答情報をもとにWebサーバとの通信を行います。しかし、この仕組みを悪用したサイバー攻撃によってDNSの応答情報が偽造されるリスクが指摘されており、利用者が気づかないうちに不正な偽サイトに誘導されるなど、様々な脅威にさらされる危険性があります。これまでのDNSプロトコル（通信手順）では、通信経路が暗号化されていない、DNSキャッシュサーバが正当なサーバであることを確認する方法がないなど、セキュリティの強化が課題となっていました。

こうした状況に対し、インターネット技術の標準仕様を策定する団体「IETF（Internet Engineering Task Force）」では、DNS問い合わせの暗号化やサーバの正当性確認のための仕組みを含んだ新しいDNSプロトコルの標準化が進められてきました。その最新技術の一つが、DoT/DoHによる経路暗号化であり、もう一つが電子署名を応用してサーバの正当性を検証するDNSSECです。

1.IIJの「DoT/DoH」対応

このたび、IIJが提供する接続サービスにおいて、DoT/DoHへの対応を開始いたします。DoT/DoHは、セキュアな通信路であるTLS/HTTPSの上にDNS通信をのせることでDNSキャッシュサーバへの問い合わせ内容を暗号化する技術で、第三者による通信の盗聴や改ざんの危険性を低減し、お客様のプライバシー保護を強化します。

なお、IIJでは、2019年5月より、DoT/DoHに対応した「IIJ Public DNSサービス」をベータ版として提供しており（※1）、DoT/DoHの実装に関する実用性の確認および技術検証、また、DoT/DoHに対応したDNSサーバの運用ノウハウを蓄積してまいりました。こうしたノウハウをもとに、今回、インターネット接続サービスで提供するDNSキャッシュサーバにおいてDoT/DoH対応を実現いたしました（※2）。

（※1）2019年5月8日付プレスリリース「IIJ、『DNS over TLS』、『DNS over HTTPS』を利用したDNSの試験サービス『IIJ Public DNSサービス（ベータ版）』を提供開始」： https://www.iij.ad.jp/news/pressrelease/2019/0508.html
（※2）モバイルサービスではDoHのみ対応いたします。

2.IIJの「DNSSEC」対応

DNSSECは、電子署名を応用し、DNSの情報が改ざんされていないかを検証する仕組みで、IIJではこれまでドメインの情報を管理するDNS権威サーバにおいてDNSSEC対応を進めてきました。インターネット上のDNS権威サーバにおいてDNSSECの普及が進んだことを受けて、このほどDNSキャッシュサーバ側でもDNSSECに対応いたします。これにより、DNS権威サーバからの応答に含まれる電子署名をDNSキャッシュサーバ側で検証し、サーバの正当性を確認できるようになります。ドメイン情報の改ざんによる情報漏えいなどの被害を防止し、インターネット利用における安全性を一層向上します。