フィッシング詐欺、「知ってる」だけでは防げない

　インターネットはもはや当たり前のものとなった。だが「見たいサイトにアクセスできる仕組み」「そこに潜んでいるリスク」については詳しく知られていない。インターネット利用の安全性を担保するなら、まずは背景や仕組みを"理解"することが大切だ。
　総務省の調査によると、2009年度、日本のインターネット利用人口は9408万人と国民の78％を記録した。だが、インターネットがこれほど当たり前のものとなった中でも、「サイトにアクセスすると、なぜそのサイトが表示されるのか」、その仕組みについてはあまり知られていないのではないだろうか。もちろんITに携わる人なら、「DNS（Domain Name System）という仕組みがアクセス先に対応するIPアドレスを探し出し、コンピュータがそのIPアドレスを使って通信する」ということは知っているだろう。だが、その仕組みを「さまざまな専門用語を理解した上できちんと第三者に説明」できるだろうか？
　特に近年、インターネットの利用に安全性を求める声が高まっている一方で、「DNSの応答を偽造して、利用者を本来の通信先ではない通信先に誘導」する手口、「DNSキャッシュポイズニング」を使ったフィッシング詐欺が相次いでいる。そうしたリスクへの対策を考えるためには、まず"インターネットの仕組みの根幹"である「DNSの仕組みを理解しているか否か」が重要なポイントになることを、その解説を通じて強く示唆しているのである。
　例えば、リスクの問題以前に、そもそも「DNSのサービスは、誰がどのように行うのか」はご存じだろうか。DNSはその仕組み上、利用者からの要求により名前解決を行う「キャッシュDNSサーバー」と、各ドメイン名を管理する「権威DNSサーバー」の2種類が協調して動作する。一般に、前者についてはインターネットサービスプロバイダ（ISP）やデータセンターが管理を担うが、利用者が多数に上る企業や大学の場合は、その組織自身が管理するケースが多い。
　だが、「権威DNSサーバー」は「そのドメイン名を委任された登録者が管理責任を持つ」。このため、「その関係者は多岐に渡る」ほか、DNSサービスの利用者は、その「ドメイン名の委任先の権威DNSサーバーが提供するサービス品質」の影響も受ける。従って、「DNSのサービス品質は、サービスを提供するISPやレジストリ、DNSプロバイダなどにより大きく異なる」ことを認識しておく必要があるし、「サービスレベルや提供条件」も吟味する必要があるのだ。本来なら、こうしたことを把握しておかなければ、自社Webサイトや電子メールなど、自社のインターネット利用に高度な安定性・安全性を担保することは難しいのである。
　リスクについても、その危険性の"中身"を理解しておく必要がある。前述のように、「DNSキャッシュポイズニング」は「キャッシュDNSサーバーをだまして、名前解決要求を出した利用者をだます」手法だが、その怖さは「名前解決した応答をキャッシュに保持し、以降は同一ドメイン名に対する応答をキャッシュされた情報を使って返す」というキャッシュDNSサーバーの機能を逆手に取っている点にある。
　つまり、最初に名前解決要求を出し、そのサイトにアクセスした利用者だけではなく、同じ名前解決要求を出したその他の利用者もだまされることになるため被害が拡大しやすいのだ。加えて、この方法は「悪意のある第三者が事前に準備し、自身が名前解決要求を出すことで攻撃のきっかけを作り出すこともできる」というタチの悪さを持ち合わせている。
　もちろん、「多くのキャッシュDNSサーバーでは対策が取られている」し、「きちんとしたサービス提供者」なら以上のような問題は起こりにくい。だが、それゆえに"サービス提供者の吟味"が必要だし、サービスを吟味したり万一の対策を考えたりする上では"リスクの中身"をきちんと認識しておく必要があるのだ。
　加えて現在は、いくらDNSキャッシュサーバの管理を徹底したり、サービス提供者を慎重に選択したところで、「従来のDNSでは（その仕組み上）これを100％防ぐことが難しい」状況にもなっている。そこで、「DNS応答を受け取った側でその情報が本物であるかを検証」するための仕組み——「DNSSEC（Domain Name System Security Extensions：DNSセキュリティ拡張）」が開発され、導入のための活動が世界的に進められているわけだが、こちらについても背景や仕組みを理解しておくことが重要なことは言うまでもないだろう。
　インターネットの世界では、個人ユーザーでも「自己責任」が強く求められている。ましてや、消費者や取引先の安心と信頼を請け負う企業が「知らなかった」では済まされない。