Skip to main content
Resources

ICANN、ドメインネームシステムを守る鍵の更新を延期

新たなデータにより、既存DNS鍵署名鍵の安全を保つべく延期を判断

このページは以下の言語でもご覧いただけます。

カリフォルニア州ロサンゼルス… Internet Corporation for Assigned Names and Numbers(「アイキャン(ICANN)」)は本日、ドメインネームシステム(DNS)を保護する暗号鍵(鍵署名鍵/KSK)更新の延期を発表しました。

この更新すなわち「KSKロールオーバー」の実施は、当初2017年10月11日を予定していました。しかし、最近得られたデータにより、インターネットサービスプロバイダ(ISP)およびネットワークオペレーターが使用しているリゾルバの多くにおいて、ロールオーバーに対応する準備が完了していないことがわかりました。この状況に鑑み、ICANNはこのたび延期を決断しました。

オペレーターが新たな鍵をシステムにインストールしていない理由は、複数考えられます。リゾルバのソフトウェアが適切に設定されていないケースもあります。また、広く使われているリゾルバプログラムで鍵の自動更新を行っていないという、最近発見された問題もあります。この問題の理由については、現在も調査中です。

「ドメインネームシステムの安全性、安定性および耐性/復旧力確保は、ICANNの核となるミッションです。先般公表した10月11日にロールオーバーを実施するのではなく、むしろ慎重かつ合理的に本件を進めるべきと現在は考えています。多くのエンドユーザーに悪影響を及ぼす可能性のある新たな問題が発覚した今、ICANNが当初の日程のままロールオーバーを実施するのは無責任なことです」と、ICANNのCEOであるヨーラン・マービーは語っています。

鍵の変更にあたっては、新たな暗号鍵のペアを生成し、その公開のコンポーネントをDNSSEC(Domain Name System Security Extensions)検証リゾルバに配布する必要があります。DNSSEC検証リゾルバを使用しているインターネットユーザーは世界で4人に1人、つまり7.5億人存在します。これらの人々が、KSKロールオーバーによって影響を受ける可能性があります。

ICANNでは現在、コミュニティ、地域インターネットレジストリ、ネットワークオペレーターグループを含む関係者に、この問題の調査と解決への協力を依頼しているところです。

ロールオーバーの新たな日程はまだ決定していません。ICANNの最高技術責任者(CTO)オフィスでは、2018年第1四半期に実施したい、という暫定的な見解を出しています。とはいえ、実施日の決定は、今般新たに得られた情報のより完全な理解および可能な限りの多くの潜在的障害の緩和に依存します。ICANNとしては、現在の暗号鍵のセキュリティ、ひいてはDNSのセキュリティに対して自信を持っています。

ICANNは今後、追加の情報が得られた際には都度みなさまにご提供するとともに、ロールオーバーの新たな実施日についても、決まり次第別途アナウンスする予定です。

マービーは「ネットワークオペレーターがこの期間を利用してシステム対応を確実に行ってくれるよう希望します。ICANNでは、オペレーター向けのテストプラットフォーム(http://go.icann.org/KSKtest) も公開しています。このプラットフォームを利用することにより、リゾルバが新たな鍵で適切に設定されているかどうか確認できます。ICANNは今後も、オペレーターのみなさまへのエンゲージメントおよびコミュニケーションを続けていきます」と語っています。

DNSSECについて

インターネット上の資源を容易に識別するため、数字によって表される資源アドレスは、人が読める文字列でも表現されます。こうした文字列から数字への変換は、分散・階層的なドメインネームシステム(DNS)によって行われています。1983年の設計以来、このインターネットの「電話帳」は、コンピューティングとネットワーキングの高度化にともない、攻撃に対して脆弱になりました。そのような脅威に対応すべく、国際的な標準化機構であるIETF は、DNSのコンテンツが知らないうちにソースから変更されないことを暗号的に保証するため、DNSSECを開発しました。DNSSECが完全に展開されれば、攻撃者がDNSを使ってユーザーをリダイレクトすることができなくなります。

##

KSKロールオーバーに関する情報はこちらをご覧ください。 https://www.icann.org/resources/pages/ksk-rollover

ソーシャルメディアのタグはこちらです: #Keyroll

# # #

連絡先

リアナ・テオ
広報担当責任者(APAC)
シンガポール
Tel:+65 9765 5500
電子メール:liana.teo@icann.org

フィオナ・オウ
グローバル広報コーディネーター
シンガポール
Tel:+65 9113 6621
電子メール:fiona.aw@icann.org

ICANNについて

ICANNの使命は、安定的・安全で統合されたグローバルインターネットを確保することです。インターネット上で他の人に連絡する際には、コンピューターに名前または番号を入力する必要があります。そのアドレスは、コンピューターがお互いの場所を知るために、一意でなければなりません。ICANNは、これらの一意な識別子を世界中で調整し、サポートしています。ICANNは、世界からの参加者による共同体として、1998年に設立された非営利の公益法人です。ICANNとそのコミュニティは、インターネットの安全性、安定性、相互運用性の維持を支援しています。また、競争を促進し、インターネットにおける名前システムのトップレベルについてその方針を策定し、他の固有のインターネット識別子の利用を促進しています。詳細はこちらをご覧ください。www.icann.org

Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."