ICANN、インターネット全体への「大規模かつ継続的なDNS攻撃」を警告。ドメイン管理の強化を訴える
コメント
注目のコメント
確かにDNSSECによる署名検証はセキュアでしょうが、資格証明書の取得検証に置けるオーバーヘッドを考慮せねばなりません。
すでに攻撃実現の論文が出ていますが、DNSSECの署名検証に対して、わざとキャッシュされていない間違った資格情報を当てに行った場合にでも、検証処理自体は当然走るわけです。
この検証処理がサーバーに与える負荷は明らかに非DNSSEC環境よりも大きいため、この検証機能がサービス負荷、つまりDoSやDDoS攻撃の窓口になる可能性があります。
やるならそれなりにお金をかけた方が良いでしょう。具体的にどのような影響が出るのか、というと例えば
あるWebサイトにアクセスした時に、
URLは正しいが、別のサイトが表示される。
ユーザがそれに気付かずにIDとパスワードを入力し、漏洩する。“DNSSECを使えば、ドメインを署名認証でロックダウンできDNSが返す情報の偽造や改ざんを検出可能になります。この方法はDNSスプーフィングを完全に防げはしないものの、かなり困難にすることができます。”