フィッシング詐欺、「知ってる」だけでは防げない：情報マネージャとSEのための「今週の1冊」（45）

インターネットはもはや当たり前のものとなった。だが「見たいサイトにアクセスできる仕組み」「そこに潜んでいるリスク」については詳しく知られていない。インターネット利用の安全性を担保するなら、まずは背景や仕組みを“理解”することが大切だ。

[＠IT情報マネジメント編集部，＠IT]

実践DNS
DNSSEC時代のDNSの設定と運用

・監修=日本レジストリサービス
・発行=アスキー・メディアワークス
・2011年5月
・ISBN-10：4048700731
・ISBN-13：978-4844330233
・2800円＋税
※注文ページへ

　総務省の調査によると、2009年度、日本のインターネット利用人口は9408万人と国民の78％を記録した。だが、インターネットがこれほど当たり前のものとなった中でも、「サイトにアクセスすると、なぜそのサイトが表示されるのか」、その仕組みについてはあまり知られていないのではないだろうか。もちろんITに携わる人なら、「DNS（Domain Name System）という仕組みがアクセス先に対応するIPアドレスを探し出し、コンピュータがそのIPアドレスを使って通信する」ということは知っているだろう。だが、その仕組みを「さまざまな専門用語を理解した上できちんと第三者に説明」できるだろうか？

　本書「実践DNS」はそうした状況を見据え、DNSについて基礎から分かりやすく解説した作品である。特に近年、インターネットの利用に安全性を求める声が高まっている一方で、「DNSの応答を偽造して、利用者を本来の通信先ではない通信先に誘導」する手口、「DNSキャッシュポイズニング」を使ったフィッシング詐欺が相次いでいる。本書では、そうしたリスクへの対策を考えるためには、まず“インターネットの仕組みの根幹”である「DNSの仕組みを理解しているか否か」が重要なポイントになることを、その解説を通じて強く示唆しているのである。

　例えば、リスクの問題以前に、そもそも「DNSのサービスは、誰がどのように行うのか」はご存じだろうか。DNSはその仕組み上、利用者からの要求により名前解決を行う「キャッシュDNSサーバー」と、各ドメイン名を管理する「権威DNSサーバー」の2種類が協調して動作する。一般に、前者についてはインターネットサービスプロバイダ（ISP）やデータセンターが管理を担うが、利用者が多数に上る企業や大学の場合は、その組織自身が管理するケースが多い。

　だが、「権威DNSサーバー」は「そのドメイン名を委任された登録者が管理責任を持つ」。このため、「その関係者は多岐に渡る」ほか、DNSサービスの利用者は、その「ドメイン名の委任先の権威DNSサーバーが提供するサービス品質」の影響も受ける。従って、「DNSのサービス品質は、サービスを提供するISPやレジストリ、DNSプロバイダなどにより大きく異なる」ことを認識しておく必要があるし、「サービスレベルや提供条件」も吟味する必要があるのだ。本来なら、こうしたことを把握しておかなければ、自社Webサイトや電子メールなど、自社のインターネット利用に高度な安定性・安全性を担保することは難しいのである。

　リスクについても、その危険性の“中身”を理解しておく必要がある。前述のように、「DNSキャッシュポイズニング」は「キャッシュDNSサーバーをだまして、名前解決要求を出した利用者をだます」手法だが、その怖さは「名前解決した応答をキャッシュに保持し、以降は同一ドメイン名に対する応答をキャッシュされた情報を使って返す」というキャッシュDNSサーバーの機能を逆手に取っている点にある。

　つまり、最初に名前解決要求を出し、そのサイトにアクセスした利用者だけではなく、同じ名前解決要求を出したその他の利用者もだまされることになるため被害が拡大しやすいのだ。加えて、この方法は「悪意のある第三者が事前に準備し、自身が名前解決要求を出すことで攻撃のきっかけを作り出すこともできる」というタチの悪さを持ち合わせている。

　もちろん、「多くのキャッシュDNSサーバーでは対策が取られている」し、「きちんとしたサービス提供者」なら以上のような問題は起こりにくい。だが、それゆえに“サービス提供者の吟味”が必要だし、サービスを吟味したり万一の対策を考えたりする上では“リスクの中身”をきちんと認識しておく必要があるのだ。

　加えて現在は、いくらDNSキャッシュサーバの管理を徹底したり、サービス提供者を慎重に選択したところで、「従来のDNSでは（その仕組み上）これを100％防ぐことが難しい」状況にもなっている。そこで、「DNS応答を受け取った側でその情報が本物であるかを検証」するための仕組み――「DNSSEC（Domain Name System Security Extensions：DNSセキュリティ拡張）」が開発され、導入のための活動が世界的に進められているわけだが、こちらについても背景や仕組みを理解しておくことが重要なことは言うまでもないだろう。

　インターネットの世界では、個人ユーザーでも「自己責任」が強く求められている。ましてや、消費者や取引先の安心と信頼を請け負う企業が「知らなかった」では済まされない。その点、本書は専門書でありながら、専門用語の使用を極力抑え、インターネットの基礎、DNSの基礎から丁寧に説いた誰にでも分かりやすい仕上がりとなっている。IT部門の人なら知識の整理に、業務部門の人なら現状の理解に、ぜひ読んでおくべき一冊と言えるのではないだろうか。

---

この新連載で紹介した書籍は、順時、インデックスページに蓄積していきます（ページ上部のアイコンをクリックしてもインデックスページに飛ぶことができます）。旧ブックガイドのインデックスはこちらをご覧ください。

---

「情報マネージャとSEのための「今週の1冊」」バックナンバー

• 人はなぜ不正を働くのか？
• なぜIKEAは世界中で支持されるのか
• 今こそ「メディア」を考える
• 部下を信じ、尊敬する
• ご機嫌取りになれ
• “暗い未来”に漫然と向かわないために
• 1つの行動が社会を変革する
• あなたには確固たる「ミッション」があるか？
• 「会社に行きたくない」人ほど会社に依存している
• 失敗の2大パターンは“精神論とお役所仕事”
• コミュニケーションは、ツールではなく人が行うもの
• 社員が疲弊している会社は、経営層とITに問題あり
• ロジカルシンキングで成果が出ない訳
• 手段ばかりを求めていると、結果は出せない
• 「技術へのこだわり」という日本企業の根深い病
• 日本軍とまったく同じ、日本企業の“敗戦理由”
• “技術だけ”では、開発プロジェクトは失敗する
• 断捨離で、業務とシステムはもっと快適になる
• 仕事でモメたくない人のための教科書
• その油断と慢心が“炎上”を招く
• 本当は怖いフェイスブック
• 組織も自分もダメにする「自分大好き」という病
• 災害対策、コスト削減、システム改善は全て同じ問題
• あなたなら、自社システムをどう攻撃する？
• “想定外”から1年、見て見ぬふりはしていませんか？
• ナイトライダーも示唆する人とシステムのあるべき関係
• アップルが成功し、ソニーが失敗した理由
• 貴社のビジネス、ITシステムに“マインド”はあるか？
• 何のために働くのか？ その回答はシンプルそのものだ
• 事故を起こす企業の特徴は、「責任者が不明」
• スマホ導入は、セキュリティポリシー設定がキモ
• 失敗は、「簡単なこと」「当たり前のこと」で起こる
• ITがどれほど進展しても、経営の基本は変わらない
• コピペやお絵かきが得意な人は“中毒”の疑いあり
• 情報は、人間関係があって初めて有効に活用できる
• “顧客”や“ユーザー”との関係作りを見直そう
• システム導入・浸透のポイントは“楽しさ”にあり
• “当たり前”を覆すチャンスはまだまだ埋まっている
• ソーシャルメディア・リテラシが収益を左右する
• 技術者はアーティストであり、製造業者ではない
• 分析するのは「ツール」ではなく「人」である
• ブランドは、消耗品である
• 当然のことを当然にこなすための指南書
• リスクを知っていてこそ、スマホは使いこなせる
• 個人でも企業でも、“ナンパ野郎”はウザいだけ
• 「見える化」だけでは、ビジネスは進まない
• 2ちゃん、ニコ動、外務省。次の標的は貴社のサイト!?
• あなたの会社は「突然死」の危機にさらされている
• BCPは、業務部門と情シスが連携して初めて成功する
• 仕事や人生、そして復興にも、秘策はない