KSK:Root Key Signing Key, ルート鍵署名鍵
適当な管理をしているプロバイダーユーザーに向けて、総務省から注意喚起がされていますので拡散に協力したいと思います。
要約すると、
最上位DNSの暗号鍵(ルートゾーンKSK、ルート鍵署名鍵)の更改が2018年10月12日午前1時(日本時間)に行われるのでISPは新ルートゾーンKSKに更改する必要があります。
ISPが新ルートゾーンKSKへの更改を怠ると、そのISPを利用しているユーザーで、IPアドレス設定がDHCPになっているユーザーはインターネットに接続できなくなる可能性があります。
プロバイダーが提供するDNSサーバー以外で、Google Public DNS などの有名なDNSサービスを利用している方は問題ないと思います。
総務省はセキュリティを語れるのか?
今回の総務省のお知らせページを見て驚いたのですが、URLが https 化されていませんでした。
セキュリティ対策が甘い総務省が、セキュリティの周知を行う・・・
以下のサイトを https に変更してアクセスするとエラーになるので、https化されていないと思われます。
※2021/06/25
https化されました。(修正時期不明)
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
https://www.soumu.go.jp/menu_news/s-news/01kiban04_02000141.html
総務省:報道資料
報道資料
平成30年10月2日
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。
これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。
1 経緯
インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。
今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界的な更改に向けてICANNにおいて準備が進められてきました。更改の際には、キャッシュDNSサーバーを運用する方(契約者向けにサービス提供するインターネットサービスプロバイダ(ISP)、LAN利用者向けにサービス提供する企業、教育機関、官庁、独法等)にて事前の処置が必要となる場合があることから、総務省では注意喚起※2を行ってきたところです。
なお、ICANNは、当初、昨年10月にルートゾーンKSKの更改を予定していましたが、ISP等における世界的な準備状況を考慮して更改を延期し、更改に向けた作業を引き続き継続してきました。このたび、ICANNは、更改の準備が整ったものと判断し、本年10月12日午前1時(日本時間)に実施することを正式に決定したものです。
2 ルートゾーンKSKの更改に向けた準備について
下記(1)の対象者の条件に合致する場合には、ルートゾーンKSKの更改に向けて作業が必要となる場合があります。
(1)対象者
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーを運用している方。
(2)影響
本年10月12日午前1時(日本時間)のルートゾーンKSKの更改後48時間以内に、未処置のキャッシュDNSサーバーを利用する者によるウェブサイトへのアクセスやメールの送信ができなくなるなどの問題が生ずる可能性があります。
(3)対応
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーについて、トラストアンカーのルートゾーンKSKの公開鍵の情報が更新されているか御確認ください(設定によっては自動的に更新が行われていることもあります)。
当該情報が更新されていない場合には、(2)で記載した問題が生ずる可能性がありますので、公開鍵情報を更新するなどの処置が必要になります。処置の方法は、キャッシュDNSサーバーの実装によって異なりますので、各自でご確認いただくか、運用委託先などへご相談ください。
その他、影響の詳細等については、ICANNによるガイド(下記3参照)や平成29年7月21日付総務省報道発表資料※2別紙を参照ください)。
3 参考
ICANNによるガイド「ルートKSKロールオーバーの実施により予想される影響について」(日本語)
https://www.icann.org/news/announcement-2018-08-27-ja
総務省
平成30年10月2日
DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定確認のお願い(お知らせ)
インターネットの重要資源の世界的な管理・調整業務を行う団体ICANN※1は、DNS(ドメインネームシステム)における応答の改ざん検出等の仕組みに用いられる鍵のうち、最上位のもの(ルートゾーンKSK)の更改を、本年10月12日午前1時(日本時間)に行うことを決定しました。
これに伴い、キャッシュDNSサーバーを運用している方において事前の処置が必要となる場合があります。
1 経緯
インターネットでの通信を支える基盤のひとつであるDNSでは、応答の改ざんの検出等が可能となる仕組み(DNSセキュリティ拡張(DNSSEC))が平成22年から運用されています。DNSSECの運用にあたっては、セキュリティ確保の観点から、用いられている暗号鍵の中で最上位となるもの(ルートゾーンKSK)を、5年毎を目安に更改することとされています。
今般、DNSSECの運用開始から5年以上が経過し、ルートゾーンKSKの初めての世界的な更改に向けてICANNにおいて準備が進められてきました。更改の際には、キャッシュDNSサーバーを運用する方(契約者向けにサービス提供するインターネットサービスプロバイダ(ISP)、LAN利用者向けにサービス提供する企業、教育機関、官庁、独法等)にて事前の処置が必要となる場合があることから、総務省では注意喚起※2を行ってきたところです。
なお、ICANNは、当初、昨年10月にルートゾーンKSKの更改を予定していましたが、ISP等における世界的な準備状況を考慮して更改を延期し、更改に向けた作業を引き続き継続してきました。このたび、ICANNは、更改の準備が整ったものと判断し、本年10月12日午前1時(日本時間)に実施することを正式に決定したものです。
2 ルートゾーンKSKの更改に向けた準備について
下記(1)の対象者の条件に合致する場合には、ルートゾーンKSKの更改に向けて作業が必要となる場合があります。
(1)対象者
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーを運用している方。
(2)影響
本年10月12日午前1時(日本時間)のルートゾーンKSKの更改後48時間以内に、未処置のキャッシュDNSサーバーを利用する者によるウェブサイトへのアクセスやメールの送信ができなくなるなどの問題が生ずる可能性があります。
(3)対応
DNSSECによる署名の検証機能を有効にしたキャッシュDNSサーバーについて、トラストアンカーのルートゾーンKSKの公開鍵の情報が更新されているか御確認ください(設定によっては自動的に更新が行われていることもあります)。
当該情報が更新されていない場合には、(2)で記載した問題が生ずる可能性がありますので、公開鍵情報を更新するなどの処置が必要になります。処置の方法は、キャッシュDNSサーバーの実装によって異なりますので、各自でご確認いただくか、運用委託先などへご相談ください。
その他、影響の詳細等については、ICANNによるガイド(下記3参照)や平成29年7月21日付総務省報道発表資料※2別紙を参照ください)。
3 参考
ICANNによるガイド「ルートKSKロールオーバーの実施により予想される影響について」(日本語)
https://www.icann.org/news/announcement-2018-08-27-ja
総務省
:SC2
このサイトを検索 | Search this site
0 コメント