DNSのTTL設定とは?(後編)

2007年3月 1日 03:00

では、なぜ「短いDNSのTTL設定は危険」なのだろうか。
「日本ネットワーク・オペレーターズ・グループ」のホームページ( http://www.janog.gr.jp/meeting/janog19/2006/12/dnsttl.html )にその資料があるので深く知りたい方は参考にしていただくとして、ここでは主にVALUE DOMAINを利用している人にとって「短いTTL設定」でどういうリスクがあるのかを考えたい。

VALUE DOMAINではTTLについて「よくわからない人は120秒でよい」というスタンスであるが、これはプロバイダのDNSサーバーでは120秒後に情報が消されるということでもある。その情報が消えた間に、悪意を持つ人が嘘の情報を、そのサーバーに送り込んだらどうなるだろうか。

例えば「kazamidori.net=256.256.256.256」という情報をプロバイダのDNSサーバーに送り込んだとする。「256.256.256.256」のコンピュータにエロサイトや、スパイウェアを送り込むようなページが設置されていれば、そのDNSサーバー経由で「kazamidori.net」へアクセスした人は大変な被害を被ることになる。

勘のいい読者なら、気付いたかもしれないが、このような嘘の情報の「TTL設定」が1日だったりすると、その日はドメイン(アドレス)は間違っていないのに、実際とは全く無関係のサイトが表示されることになる。つまり"本物のアドレス"でフィッシングサイトを作ることができるのだ。

では、なぜVALUE DOMAINでは「120秒」という短い時間を初期設定にしているのだろうか。これは最近増えている「自宅サーバー」での運用を想定してのことだと思われる。自宅にホームページやメールのサーバーを置く場合は普通のインターネットに接続する回線を利用する。このような回線は回線障害やトラブルでモデムなどを再起動するとIPアドレスが変わる。IPアドレスが変わるとDNSの情報も変わるため、TTLの時間が短いほど、新しいDNS情報を取得しやすいメリットがある。

一方で私のようにホスティング業者(サーバーを貸し出す業者)を利用している場合、IPアドレスが変わるということはほとんどないため、逆に短い時間にするメリットがない。むしろ長い時間にしておくことで、前述のような被害のリスクを下げることができる。日本ネットワーク・オペレーターズ・グループのページを参考にすると、この場合のTTL設定は86,400秒(1日)程度が良さそうである。

ちなみに長いTTL設定にしている場合のデメリットは、何らかの理由でホスティング業者が倒産したりして、サーバーの移転を余儀なくされた時ぐらいだろう。その場合、TTL設定の時間分だけ、移転先のサーバーへアクセスできなくなる。

最後に、オンラインショップといった金銭が絡むサイトで、このようなことが行われると信用問題に発展しかねない。今や誰もが簡単に独自ドメインを取得できる今だからこそ、独自ドメインでWebやメールを運用している人は今一度、TTL設定を見直すことをお勧めしたい。

トラックバック(0)

トラックバックURL
https://cgi.kazamidori.net/mt/mt-tb.cgi/116

コメントする

検索

google+

このページについて

阪神・淡路大震災