Netの世界に転がる、様々なネタを見ては楽しむ、「Newsサイト」として、最近ほぼ毎日拝見している
「Gizmodo Japan」
のエントリーに、妙な記事が載っていた。

WWWへのアクセス権を持つ7人
http://www.gizmodo.jp/2010/07/seven-people-have-been-entrusted-with-the-keys-to-the-internet.html

抜粋：
上の画にあるこのカード。世界で7人だけが保持している、大災害時にWold Wide Webを再起動させる力を持つカードなのです。

んなアホな、Netの世界にシングルエンドポイントSingle Point of Failure（SPOF）（1箇所のシステムがサービスを提供できなくなると、システム全体が止まる）がある訳無いし、ましてやWWW−http/httpsプロトコル限定とか有り得ない！
ブクマ、Tweetを集めて、皆でカコイイカコイイ言っていたので、ちょっと幾らなんでも、なぁ…と思い、以下のようなはてブコメを残してから昼寝してたのだが

Mu_KuP …ネタだよね？／どう考えてみても、今のInternetにシングルエンドポイントはないし…（AS/DNS/その他）／つか、WWWだけに限定？訳判らん記事。

どうにも納得が行かず、色々と調査をしてみた。

Newsの流れとしては、

「An Order of Seven Global Cyber-Guardians Now Hold Keys to the Internet」
POPSCI ： http://www.popsci.com/
http://www.popsci.com/technology/article/2010-07/order-seven-cyber-guardians-around-world-now-hold-keys-internet

「Bath entrepreneur 'holds the key' to internet security 」
BBC ： http://news.bbc.co.uk/
http://news.bbc.co.uk/local/bristol/hi/people_and_places/newsid_8855000/8855460.stm

の２つの記事が、

「Seven People Have Been Entrusted With The Keys To The Internet」
Gizmodo US ： http://gizmodo.com/5597964/seven-people-have-been-entrusted-with-the-keys-to-the-internet

に流れて、上の和訳記事になったらしい。

この7人が何を指していて、何を守れるのか。
先にタネを明かせば、以下のようになる。

Internetで重要なサービスとして、”名前解決”を行うサービスがある。
このサービスは、ｗｗｗ．ｆｏｏ．ｃｏｍ　といった「ホスト名．ドメイン」構成の文字列を、住所とみなして、アクセスすべきIPアドレス（"192.168.xxx.xxx"といった、アレです。）へ変換したり、逆変換したりする役割をになう。
↓
このサービスは、世界で13箇所（IP上は13基だけど、もちろん複数台化されている）で運営されている、DNSルートサーバを大元とした、階層構造を持っている。
↓
つい最近まで、DNSはその応答を一方的に信用する仕掛け（回答があればそれを疑ったり検証したりする仕掛けが無い）状態だった。
↓
しかし、キャッシュポイゾニングという攻撃が確立され、攻撃者は特定の偽の返答を生み出して、「ホスト名．ドメイン」の文字列を、別のIPアドレスに解釈させて、利用者を攻撃サイトに誘導することが出来ると判明した。
（更にタチの悪いことに、この攻撃の場合、鍵や証明書などによって、アクセスサイトの存在や、安全な暗号でアクセスしている事を証明する技術をパスしてしまう。）※参照
↓
そこで、名前解決のサービスそのものに証明書発行技術を取り入れることになった。（これが"DNSSEC"と呼ばれる方式）
名前解決をする際に、階層の1つ上のDNSサーバと、解決対象のDNSサーバの証明書を扱う事で、名前解決を信用できるものにする仕掛け。
↓
これを一番上の階層まで考えると、「DNSルートサーバ」であることの証明書を発行する為のシステムが必要となる。

この、”DNSルートサーバであることを証明するための、証明書発行システム”（ああ、ややこしい）が、今回の記事のネタになっているようだ。
暗号化＋証明書のシステムは、公開鍵（暗号を解く為に配布される情報）と、秘密鍵（暗号を作成するための情報）と、暗号化エンジンの３つが要素になっているが、
万が一秘密鍵が漏れてしまうと、偽の証明書を作り、ルートサーバを詐称することが出来る可能性がある。
その場合は、新たな証明書の鍵を作成し、配布しなおさなければならなくなる。

大元の記事によれば、新たな秘密鍵を作成するには、7人中5人のカードキーアクセスによって承認される必要があります…ということのようだ。

確かにロマンを感じない訳ではないけども、今回の記事は、ツッコミ所が多すぎるのだ。
■WWW限定ではない
　元記事に"World-Wide-Web"という文字列が入っているからなのだろうけども、DNSはほぼすべてのInternetサービスが利用している。
例えば、今後の期待だが、DNSSECがキチンと広まれば、信用の無いドメインからのSpamメールを遮断できるようにもなる。これは非常に大きい。※参照
■別にその7名は、国際的な力関係を表すものではない
　何故日本人が居ないの？日本はこれだから…的な感想は、実に的外れ。
これらのシステムは、ICANN（1998年に設立された民間の非営利法人…だけど、実質は米商務省の影響が大きい）によって選定されているのだろうし、逆にアメリカ色をよくここまで薄めたもんだと感心するくらい。
ちなみに、DNSルートサーバそのものの運用管理者は、13箇所中10箇所がアメリカ所属団体が主導。残りはEU2箇所、日本が1箇所。物理的なシステムの管理者、という意味では更に多岐に渡る。
■そもそもこのシステムが攻撃されても、Internet自体が停止する訳ではない
　証明書の鍵が漏れて、DNSの詐称が可能となったとしても、現時点でキャッシュポイゾニングを行うには、対象のドメインが脆弱性のあるDNSサーバソフトを使っていて、なおかつそのサーバへの大量アクセスによるクラッキングが必要。
　更に言えば、そもそもDNSSECの普及率自体がまだ高くない。現時点ではそもそもその汚染される可能性のある証明書システム自体が使われていないのだ。

確かに、記事としては面白いし、物語性を高める記述は楽しいと思われるけども…
多くの技術者が、よってたかって20年近くを費やして作り上げた現在のインターネット基盤を、こんなしょっぱい記述で、脆弱なモノとして扱って欲しくない…というのが、正直な感想だったりする。

• • • -

【追記】2010/08/01 10:50
まさか一気にこれだけのアクセス、ブクマ、つぶやきを頂くエントリになるとは思っておりませんでした。下記の通り、思い込みの強いおっさんによる急ぎエントリであったため、この内容でも色々と判り辛い点があること、余計な事を書いていることをお詫びします。

ずっとあちこちのコメントなどを拝見しておりましたが、今回のネタとなったシステムについて、一番判りやすい情報は、恐らくコチラだと思います。
ルートゾーンにおけるKSKの管理方法
http://jprs.jp/dnssec/doc/root_tcr.html

• • • -

※急ぎエントリを書いたからこうなる！ツッコミポイント晒し場所※
■Twitterにて指摘、ギズモードを「Gizmode」と表記してたのを修正。もちろん正しくは「Gizmodo」
■ブコメにて指摘、「シングルエンドポイント」 → 「Single Point of Failure（SPOF）」に修正。自己流の言葉を慎みましょう、俺。
■「（更にタチの悪いことに、この攻撃の場合、鍵や証明書などによって、アクセスサイトの存在や、安全な暗号でアクセスしている事を証明する技術をパスしてしまう。）」という記述は、詳しく言えば間違い。きちんと証明書関連の警告と、アクセスするドメインを確認する人であれば、おかしいな？と思えるエラーは出ると思われる。…が、Webアクセスでそれをしてる人を見たことがあるかというと、疑問ではある。
■コメントにて指摘、「信用の無いドメインからのSpamメールを遮断」の件に斜線
DNSSECの普及が、今現在設定導入が進む、SenderIDなどの「メール出自を明らかにする」技術の補強と推進にも繋がる…と考えて記述した一文ですが、確かにDNSSECが持つ、「ドメイン詐称を防ぐ技術」とは異なるので、斜線を引きます。
迷惑メールに悩まされる運用者としては、主に海外にある、DNSのメンテナンスをせず、またOutbound Port25 Blocking(プロバイダに繋がった一般クライアントから、直接メールを送信するのを防ぐ)の導入もしないプロバイダIPからのメールなんか、窓から投げてしまえと思ってしまったりも。まぁ、Internetの通信の自由を保障する面との兼ね合いがあるのは承知しているのですが。