macOS Ventura が「 DNSSEC」をサポート

投稿者 投稿日:

前置き

この記事では、WWDC関連の特にmacOS関連に力を入れてまとめていきます。

従来のDNS

従来のDNSでは、各権威サーバー(ルート、JPゾーン、example.jpゾーン)から返ってくるIPアドレスが本物であるかどうかの検証を行わず、そのまま受け入れていました。

これにより、DNSキャッシュポイズニングといった有名な攻撃方法によって本来とは異なるIPアドレスに飛んでしまい、フィッシング詐欺サイトに誘導されてしまうという被害がありました。

DNSキャッシュポイズニングの対策はするものの対応にも限界があり、根本対策が必要になりました。そこで出てきたのがDNSSECです。

DNSSECとは何か

DNSSECとは、DNS Security Extentionsの略称で、DNS解決をセキュアに行うことができます。これにより、正しいデータであることを確認することができます。

上図のように、各権威サーバーからDS(Delegation Signer)を貰います。

これは、次へアクセスする権威サーバーが本物であるかを検証する為です。このDSと署名を比較して正しい応答であることを確認します。

macOS Venturaでサポート

前項で説明したDNSSECですが、DNSSECを確認する機能がmacOS Venturaでサポートされました。

これにより、今までよりもセキュリティが考慮された設計になりますが、プロバイダーが対応している必要がある点には注意が必要です。

参考文献

  • Apple Inc. “Improve DNS security for apps and servers”. https://developer.apple.com/videos/play/wwdc2022/10079/(参照 2022-06-12)
  • NTT PC Communications Incorporated “DNSのセキュリティ拡張”DNSSEC”入門”. https://www.nttpc.co.jp/technology/dns_security.html (参照 2022-06-12)