企業で突然インターネットに接続できなくなったら困りますよね。。。


そして、ニュース記事でとても恐ろしい内容の記事がありました。こちら。

企業LAN、ネット遮断のおそれ 総務省が確認呼びかけ


記事では、総務省は21日、9月19日までにサーバーの設定変更などをしない企業は、各社のLAN(社内ネットワーク)から外部のインターネットに接続できなくなるおそれがあると発表した。ネット上の住所(IPアドレス)を確認するために世界共通で使われている暗号鍵が変更されるためというとありますが、よくわからないですよね。。。

 暗号鍵は256桁の数列で、サーバー同士が正しくつながるための「合言葉」として使われている。米ロサンゼルスに本拠を置き、世界中のドメイン名(wwwで始まるホームページのアドレスなど)を管理しているICANNがセキュリティー強化のため、今回初めて鍵を変更する。

 一般の利用者が使うサーバーは通信事業者などが対応する予定だ。総務省データ通信課は「契約しているシステム管理業者などに確認を」と呼びかけている。

おそらくこちらの記事のほうが分かりやすいです。


DNS運用の大規模変更に注意喚起--「9月19日までに対応を」と政府

https://japan.zdnet.com/article/35104517/


インターネットでドメイン名とIPアドレスの変換を行う「Domain Name System」(DNS)において、その最上位のルートゾーンでDNS SECurity extensions(DNSSEC)に必要な署名鍵を交換する初めての作業が7月1日に始まった。この更改に伴う影響として、9月19日にウェブやメールが使用できなくなる可能性が懸念され、内閣サイバーセキュリティセンター(NISC)やネットワーク管理団体などから注意喚起が出されている。


そして、今回の作業は、電子署名の仕組みを利用してDNSサーバから送信されるIPアドレスとホストコンピュータ名の情報が信頼できるものであることを証明するDNSSECで、DNSのルートゾーンにおける署名鍵(ルートゾーンKSK)を更新するそうです。


また、DNSSECは、正規サイトのドメイン情報など不正に改ざんしてユーザーを悪質なサイトに誘導する「キャッシュポイズニング」と呼ばれる攻撃などを防ぐために世界中で導入されつつあるとのこと。


ニュース記事では分かりにくかったですが、9月19日の発生が懸念される影響とは、ルートのDNSサーバからの応答パケットに新旧のKSKとZSKが含まれることでデータ量が大幅に増加(IPフラグメントと呼ばれる)することで、正常な名前解決ができず、ウェブサイトにアクセスしたり、メールを配信したりできなくなるというだそうで、KSKとZSKは事前に公開されるが、今回の作業に伴って最初のIPフラグメントが9月19日に発生する恐れがあるそうです。


影響範囲は?

この影響を受ける恐れがあるのは、インターネットサービス事業者などキャッシュDNSサーバの全ての運用者とされるが、状況によってはDNSSECを導入していない場合や、企業や学校などのネットワークにも及ぶ可能性があるとされる。


NISCなどは対応策として、まずキャッシュDNSサーバがIPフラグメントによって名前解決に失敗しないかを確認することだそうです。

http://keysizetest.verisignlabs.com/


おそらくアクセスして、5番以外がPASSになれば問題ないと思います。自分もアクセスして試してみました。
dns000000


そして、IPフラグメントにつながりかねないUDPメッセージサイズの増大に注意するよう呼びかけ、キャッシュDNSサーバでUDP受信サイズを4096オクテットの検索結果が受信できるように設定してほしいとアドバイスしているとのこと。