世界全体のDNS最上位に位置するルートゾーンを提供する1台が原因不明の不具合

A root-server at the Internet’s core lost touch with its peers. We still don’t know why.
ars technica

世界全体のDNS最上位に位置するルートゾーンを提供する 13 台のうちの 1 台が原因不明の不具合により 4日間以上にわたって同期していませんでした。このサーバはCogent Communicationsが管理しており、更に同社のc-rootインスタンス 12 個すべてが突然更新を停止しました。

5/24 オランダ諜報機関の元メンバーで、1999年に設立したPowerDNSの親会社であるOpen-Xchangeのオーナーであるbert hubert氏も、以下のように世界的にc-rootサーバーが同期しておらず、DNSSECシグネチャの更新を除き、すべてのCインスタンスが古いゾーンを提供していることを伝えていました。
https://fosstodon.org/@bert_hubert/112480485891997247

Table of Contents

DNSSEC更新作業への影響

これにより、.gov および .int で終わるドメイン名の検索を処理するネームサーバーで、DNSSEC を更新して ECDSA 暗号化キーを使用する計画を今週予定していましたが、新しいキーをすべてのルートサーバーに均一に展開することができないため、作業を延期せざるを得なくなりました。

なお、ルートサーバーはDNSSECと呼ばれるメカニズムを使用して、中間サーバーの一部を認証するため暗号化キーを保存していました。13台全てのキーが同一でない場合DNSキャッシュポイズニングの攻撃リスクが高くなります。

JPNIC DNSSEC の意義
前述のキャッシュポイズニングによる危険は、そもそも正規でないサーバから偽装されたパケットが送信されることによるものですが、DNSSECでは、電子署名の仕組みを基に、DNSキャッシュサーバが問い合わせにより得た応答が、問い合わせた本来の権威ネームサーバからの応答かどうか、パケット内容が改ざんされていないかどうか、さらに、問い合わせたレコードが存在するか否か、を検証することができます。
DNSSECでは、公開鍵暗号方式と電子署名の仕組みを応用し、前記の検証を可能としています。そこで、次の節で簡単に、公開鍵暗号方式と電子署名の技術について説明します。
https://www.nic.ad.jp/ja/newsletter/No43/0800.html

また、ルートゾーンの変更は、委任 (NS レコード) の変更、DNSSEC 更新のための DS レコードのローテーション、そしてこれらすべてに伴って DNSSEC 署名の更新が行われます。相違が残っていると、古いルートサーバーでは DNSSEC 署名の有効期限が切れ、より顕著な影響が出始めます。

c-rootの不具合と対処

c-root の不具合は、同じく Cogent が管理するc-root のWeb サイトへのアクセスを妨げた別の不具合と同時に発生しました。原因は、Cogent がサイトのホスティングに使用していた IP アドレスを、フランスの通信会社 Orange Ivory Coast に移転したことが原因だったことが判明しました。

5 月 21 日 15:30 UTC、Cogent Communicationsは、c-root によって提供されるルートゾーンが5月18日以降、変更の追跡を停止したことを知らされ、分析の結果、これは無関係なルーティングポリシーの変更によって発生し、その副作用として関連する監視システムが停止したことが判明しました。

この停止の結果、c-root によって応答しなかった実稼働 DNS クエリはなく、影響はルートゾーンのデータ鮮度のみでした。c-root によって提供されるルートゾーンのデータ鮮度は、5月22日16:00 UTCに完全に回復しました。

原因は、CogentとTATAのピアリング紛争？

2024年2月にはNTTコミュニケーションズとヨーロッパでのピアリングも廃止しており、営利企業のCogent対しルートネームサーバーを運用するための要件として、オープンピアリングポリシーを加える議論がされています。

Cogent-TATA peering dispute?

DNSSECの根幹に関わる議論

国外では「Cogent が、障害の本当の技術的理由を提示するまでは、敵対的な政府による侵入があったと想定し、ルートサーバーの一覧から C ルートサーバーを削除する必要がある」といったDNSSECの根幹に関わる議論がされています。引き続き動向を見守りたいと思います。

DNS glitch that threatened Internet stability fixed; cause remains unclear

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示

DNSSEC更新作業への影響

c-rootの不具合と対処

原因は、CogentとTATAのピアリング紛争？

DNSSECの根幹に関わる議論

投稿者: 二本松 哲也

投稿者: 二本松哲也