概要

  • DYN のインシデントは従来型のアプリケーション停止ではなかった。影響を受けた多くのオンラインサービスは依然としてサーバ、スタッフ、ソフトウェアが稼働していたが、攻撃者がそれらのサービスがインターネット上のどこに存在するかを示す権威 DNS 層を標的にしたため、ユーザーはそれらに確実に到達できなかった。
  • DYN は自社の権威 DNS 基盤、DDoS 対応、ステータス通信、顧客支援を管理していた。顧客はプロバイダ集中、セカンダリ DNS、TTL の選択、レジストラの準備、監視、事業継続性の前提を管理していた。IoT メーカーとアクセスネットワークは、攻撃規模を可能にしたボットネットリスクの一部を管理していた。
  • 説明責任の問題は収益継続性である。小売業者、メディアサイト、SaaS プロバイダ、公共サービスは、オリジンアプリケーションが健全であっても、名前解決が攻撃を受けた単一プロバイダに過度に依存している場合、注文、広告、サポートチャネル、ユーザー信頼を失う可能性がある。
  • 永続的な是正とは、DNS がクリティカルな依存関係として設計されている証拠である:複数プロバイダの権威、テスト済みのゾーン転送または自動化、独立した監視、訓練されたレジストラ変更、現実的な TTL、DDoS 防御能力、ステータス通知、到達可能性が収入制御の一部であるという取締役会レベルの認識。

DNS 障害が健全なサービスを到達不能にする

DNS は、障害が発生するまではしばしば見えない。ユーザーは、到達しようとしたブランドを記憶するのであって、その背後にある権威ネームサービスチェーンではない。2016年10月21日、当時主要なマネージド DNS プロバイダだった DYN が、持続的な分散型サービス拒否(DDoS)攻撃を受けたために、インターネットの大部分が断続的な到達性問題を経験した。DYN の攻撃分析概要は、複数波の攻撃と、Mirai ボットネットに関連する大量の悪意ある送信元アドレスについて説明している。DYN による以前の声明では、このイベントを顧客アプリケーションの侵害ではなく、マネージド DNS 基盤に対する攻撃として位置づけている。

この違いは重要である。サービスの自社ウェブサーバがクラッシュした場合、サービス所有者はアプリケーションの復旧に注力できる。DNS 解決が失敗した場合、ユーザーはサーバが正常であることを知るためにさえサーバに到達できない。マネージド DNS は、収入、サポート、広報、認証、コンテンツ配信の前に位置する。すべてのトランザクションを処理するわけではないが、多くのトランザクションを開始できるかどうかを決定する。これにより、DNS は単なる技術的なアドレス帳ではなく、収益継続性の依存要素となる。

2016年の攻撃は、集中問題も可視化した。多くの著名なサービスが DNS に DYN を利用していた。DYN が攻撃されたとき、これらの顧客は共通の障害ドメインを共有していた。一部はセカンダリ DNS やその他の緩和策を持っていた。他は DYN の可用性により重度に依存していた。ユーザーエクスペリエンスは、地域、リゾルバキャッシュ、タイミング、顧客構成によって異なっていた。一般には1つのインターネット障害と見られたが、実際の説明責任マップには、DYN の基盤、顧客の DNS アーキテクチャ、レジストラ制御、再帰リゾルバ、通過ネットワーク、およびボットネットを支える安全でないモノのインターネット(IoT)デバイスが含まれていた。

米国コンピュータ緊急対応チーム(United States Computer Emergency Readiness Team)は、すでにMirai およびその他のボットネットによる高度な DDoS リスクに関する2016年10月警告で Mirai スタイルの脅威について警告していた。この警告は DYN イベントの前に出されており、侵害された IoT デバイスが DDoS 攻撃に使用されていることを説明していた。このタイミングは重要である。DYN 攻撃は IoT ボットネット問題を作り出したのではなく、ボットネットの規模がどのように共有 DNS プロバイダを公共の到達性チョークポイントに変え得るかを示した。

DYN の制御は現実だが完全ではなかった

DYN は、自社のマネージド DNS 基盤と対応を直接制御していた。販売したサービスを運用し、DDoS 防御を維持し、上流プロバイダと連携し、顧客を更新し、サービスを復旧した。顧客は、DYN が大規模な攻撃から自社プラットフォームを防御することを合理的に期待できた。同時に、主要プロバイダであっても、多数のネットワークからの分散トラフィックによって防御が圧倒または低下される可能性がある。説明責任の問題は、DYN が無敵であるべきかどうかではない。DYN、顧客、およびより広範なエコシステムが、1つの攻撃対象プロバイダが作り出し得る被害範囲を縮小したかどうかである。

顧客は異なる事実セットを管理していた。単一プロバイダの権威 DNS を使用するか、マルチプロバイダ配置を使用するかを選択した。キャッシングとフェイルオーバー挙動に影響する TTL を設定した。レジストラアクセスとゾーン管理手順を維持した。アプリケーションヘルスから独立して DNS を監視した。ストレス下で権威を移動する訓練を行ったか、または怠った。DNS レジリエンスが取締役会レベルの収入問題か、インフラチームに任せる技術詳細かを決定した。これらの選択が、DYN の停止を短時間の劣化、重大な収入中断、または公共信頼イベントに変えるかを決定した。

DNS 設計はトレードオフを伴うため、普遍的な答えはない。マルチプロバイダ DNS はレジリエンスを向上させ得るが、運用の複雑さを加える。ゾーン変更は同期されなければならない。DNSSEC、ヘルスチェック、ジオルーティング、トラフィックステアリング、プロバイダ固有の機能はフェイルオーバーをより困難にし得る。低い TTL は変更の伝播を速めるが、クエリ負荷を増加させ、すべてのキャッシュを上書きするわけではない。レジストラ変更は、資格情報、ロック、承認の準備ができていなければ、遅くまたはリスクを伴う可能性がある。説明責任のあるアーキテクチャは、これらのトレードオフを認識し、「セカンダリ DNS」が魔法の言葉だと仮定するのではなく、それらをテストする。

より広範なエコシステムも制御を持っていた。IoT メーカーは弱いデフォルト資格情報、貧弱な更新習慣、悪用の外部性に対する限定的な説明責任でデバイスを出荷した。アクセスネットワークは一部の侵害デバイストラフィックを検出し制限することができた。消費者と中小企業は、DVR、カメラ、ルータをセキュアにする実質的な能力をほとんど持たないことが多かった。法執行機関は後に Mirai を特定の被告に結びつけ、司法省の2017年の有罪答弁発表は、Mirai とクリック詐欺ボットネットの作成と運用について説明した。この法的記録は悪意ある責任を示すため重要だが、到達性レジリエンスに関する供給者と顧客の義務を排除するものではない。

収益継続性は到達性から始まる

収益継続性はしばしば支払処理、在庫、チェックアウト、サポート、配送の観点で枠組みされる。DNS は同じリストに属する。顧客がドメインを解決できない場合、販売ページ、ログインページ、API、サポートポータル、広告在庫、ステータスページがすべて到達不能になる可能性がある。オリジンサーバが健全であっても、収入は玄関先で止まる。メディア企業にとって、到達性は広告と視聴者に影響する。小売業者にとっては、コンバージョンに影響する。SaaS プロバイダにとっては、アップタイムコミットメントに影響する。公共サービスにとっては、情報へのアクセスと危機通信に影響する。

DYN のインシデントは、DNS 集中が供給者リスクを顧客収入損失に変換できることを示した。顧客は DDoS 標的である必要はなく、害を受けた。彼らは攻撃されたプロバイダに依存していたために害を受けた。これはコスト移転である:攻撃者は DYN を標的とし、DYN は攻撃を吸収し、顧客は到達性損失を吸収し、ユーザーは破損したアクセスを吸収し、ボットネットに参加したデバイスの IoT 所有者またはメーカーが同等のコストを負担することは稀だった。説明責任は、最終可視ブランドに全面的な責任を負わせるのではなく、その移転を見ることを必要とする。

監視は依存関係に合わせる必要がある。ある地域からのアプリケーション合成チェックは、ウェブサイトがダウンしていると言うかもしれないが、オリジン障害を権威 DNS 障害、再帰リゾルバキャッシュ、BGP 到達性、CDN ルーティング、ローカル ISP 問題と区別しないかもしれない。成熟した組織は、複数ネットワークからの権威 DNS 応答を監視し、ネームサーバが回答するかをチェックし、使用中の DNSSEC の有効性を観測し、アプリケーションヘルスと名前解決ヘルスを分離する。DYN 攻撃の間、その区別が対応を形成した。アプリケーションが健全な顧客は、アプリケーションロールバックではなく、DNS とプロバイダのアクションを必要とした。

収入記録には顧客向けステータスも含めるべきである。サービスのメインステータスページは、影響を受けるサービスと同じ DNS プロバイダに依存している可能性がある。その場合、ユーザーは説明に到達できないかもしれない。独立したステータスドメイン、代替通信チャネル、キャッシュされたサービス通知が重要となる。このインシデントは基本的な設計質問を可視化した:ネームサービスプロバイダが障害を起こした場合、企業は依然として顧客に何が起こっているかを伝えることができるか?

セカンダリ DNS はチェックボックスではなく学問領域である

DYN 攻撃に対する一般的な事後対応は「セカンダリ DNS を使用せよ」だった。それは方向的には正しいが、運用上は不完全である。セカンダリ DNS には機能する設計が必要だ。ゾーンは同期されなければならない。プロバイダ間の違いが理解されなければならない。ヘルスチェック動作が衝突してはいけない。DNSSEC 署名は注意深く管理されなければならない。レジストラ委任には独立したネームサーバを含めなければならない。インシデントレスポンダは、どのゾーンがどのプロバイダに権威があるか、どの自動化がレコードを更新するか、緊急時に本番を破壊せずに変更する方法を知らなければならない。

Internet Systems Consortium のゾーン転送に関する BIND ドキュメントと IETF のDNS NOTIFY に関する RFC 1996は、マルチサーバ DNS にゾーン変更を配布する長年のメカニズムがあることを示している。現代のマネージド DNS は API、トラフィック管理、プロバイダ固有の機能を追加しているが、核心の問題は同期と権威のままである。企業は、テストされた更新プロセスなしに2つ目のベンダーを追加することが停止中に機能すると仮定できない。

TTL 戦略もまた学問領域である。低い TTL は通常状況でレコード変更の伝播を速めるが、負荷を増加させ、キャッシュとクライアントが異なる挙動をするため即時の変更を保証しない。高い TTL はプロバイダ停止中にキャッシュされた回答でユーザーを保護できるが、意図的なフェイルオーバーを遅くする。正しい答えはサービスタイプ、トラフィックパターン、プロバイダ設計、インシデントモデルによって異なる。説明責任とは、組織がデフォルトを受け継ぐのではなく、意識的な選択を行いテストしたことを意味する。

レジストラの準備はしばしば見落とされる部分である。組織が圧力の下で権威ネームサーバを変更する必要がある場合、レジストラへのアクセス、複数人による承認、資格情報の保護、レジストリロックまたは変更遅延の理解が必要である。完璧なセカンダリ DNS 設定は、組織が委任を安全に更新できないならほとんど役に立たない。逆に、急いでのレジストラ変更は、ネームサーバの誤入力、DNSSEC DS レコードの間違い、承認停止が起きた場合、新たな停止を生み出しうる。収益継続性計画は、プロバイダコンソールだけでなく、経路全体を訓練すべきである。

DDoS 能力はエコシステムの問題

Mirai ボットネットは、DDoS リスクが被害者から遠く離れた場所で作られることを示した。カメラ、DVR、ルータその他のデバイスは、貧弱に保護され広く展開されていたため、攻撃トラフィックへと勧誘された。KrebsOnSecurity のDYN 停止に関する2016年分析は、公共の混乱を消費者デバイスの侵害に結びつけ、Cloudflare の後のMirai に関する回顧は、デフォルトの資格情報とデバイス露出がなぜ重要だったかを説明した。これらの情報源は DYN 自身の説明の代替ではないが、攻撃規模がなぜ共有基盤問題だったかを説明するのに役立つ。

これは説明責任にとって、経済的インセンティブがずれているために重要である。低コストデバイスメーカーは、弱いセキュリティによってコストを節約できるかもしれない。所有者はデバイスがそのまま機能し続けるため、侵害に気づかないかもしれない。アクセスプロバイダはトラフィックを見るがデバイスを所有しない。DNS プロバイダとその顧客が攻撃コストを吸収する。公共はサービスを失う。これは古典的な予防インセンティブ問題である:ボットネット勧誘を防ぐのに最も適任な当事者が、最大の目に見える損失を負わないかもしれない。

政府と標準化団体は時間をかけて、IoT セキュリティガイダンスで対応した。NIST のIoT デバイス製造者向けの基盤的サイバーセキュリティ活動に関する NISTIR 8259と、後の消費者 IoT サイバーセキュリティ基準は、もし早期に広く実装されていれば Mirai スタイルの露出を減らしたであろうデバイスセキュリティベースラインを表明している。FCC のスマートデバイス向けサイバーセキュリティラベリングプログラムは、同じ政策方向を反映している:安全でないデバイス慣行を購入者により可視化する。これらの措置は DNS プロバイダ集中を解決しないが、プロバイダ防御を失敗させ得るトラフィック源に対処する。

ネットワーク運用者の慣行も重要である。BCP 38、RFC 2827や更新されたBCP 84、RFC 8704などのアンチスプーフィングガイダンスは、特定の種類の不正トラフィックを減らすのに役立つ送信元アドレス検証を取り上げている。Mirai はスプーフィングのみに依存していたわけではないが、広範な教訓は、DDoS レジリエンスがエコシステムの分野であるということだ。DNS プロバイダは容量を購入しスクラビングを構築できるが、アクセスネットワーク、デバイスメーカー、クラウドプロバイダ、顧客がすべて攻撃規模と影響に影響を与える。

公共サービス継続性はもう一つの義務を加える

DYN の顧客基盤には、多くのユーザーが日常生活の一部と見なす商用プラットフォームやサービスが含まれていた。直接の顧客が民間企業であっても、オンラインサービスの到達性は、通信、メディア、決済、仕事、公共認識に影響を与えた。したがって、DNS 停止は、政府システムの停止でなくとも公共サービス継続性問題になり得る。共有プロバイダが多くの広く使われるサービスを支えている場合、そのレジリエンスは市民基盤の一部となる。

これが DNS ガバナンスが重要な理由の一つである。権威 DNS 委任は公共インターネットにおける制御点である。レジストリ、レジストラ、権威プロバイダ、再帰リゾルバ、CDN プロバイダ、ネットワークオペレータは、すべてユーザーがサービスに到達できるかどうかを形成する。DYN インシデントは DNS プロトコル障害ではなかったが、そのガバナンスシステム内における運用依存の集中の結果を露呈した。一部のプロバイダは、多数の顧客が複雑さをそれらにアウトソースするために、非常に重要なものになり得る。

公共セクター組織も同じイベントから学ぶべきである。政府機関、保健機関、裁判所、選挙管理機関、緊急サービスが単一の DNS プロバイダに依存している場合、プロバイダ攻撃中に市民が重要な情報に到達できるかどうかを問うべきである。独立したステータスチャンネル、マルチプロバイダ DNS、レジストラ手順、DNSSEC ロールオーバー、緊急通信をテストすべきである。公共サービスは、民間プロバイダのレジリエンスが自動的に公共の義務を満たすと想定できない。

公共利益基準は、すべての組織が自前のグローバル DNS ネットワークを運用しなければならないということではない。マネージドプロバイダは、専門知識、規模、セキュリティ、自動化、サポートといった正当な理由で存在する。基準は、高依存顧客が購入した障害ドメインを理解していることである。プロバイダは優れていても、顧客にテストされた代替手段がない場合、単一の依存点であり得る。運用のアウトソーシングは公共到達性に対する説明責任をアウトソースしない。

住所録が壊れたとき通知の質が重要である

DNS 障害時、サービスの通常の通信経路が同じ命名チェーンに依存している可能性があるため、通信は異常に困難である。影響を受けるドメインの下のステータスページは到達不能かもしれない。メールは遅延または不信頼されるかもしれない。ソーシャルメディアが実用的なチャンネルになるかもしれないが、すべての顧客がそのアカウントをフォローしているわけではない。重要なオンラインサービスを販売する企業は、DNS プロバイダ障害を生き残る通信計画を必要とする。

その計画には、独立したステータス基盤、代替ドメイン、事前に用意されたソーシャルチャンネル、顧客連絡先リスト、サポート手順を含めるべきである。また、顧客メッセージとプロバイダメッセージを区別すべきである。DYN は自社プラットフォームに関する攻撃ステータスを報告できた。各顧客は依然として、自社のサービスが影響を受けたかどうか、データが安全かどうか、トランザクションが失われたかどうか、正常サービスがいつ期待されるかを、自社のユーザーに伝えなければならなかった。プロバイダステータスは必要だが十分ではない。なぜなら、ユーザーは不可視の DNS ベンダーではなく、ブランドと関係を持っているからだ。

通知の質は収入回復にも影響する。小売業者がユーザーに何も伝えなければ、一部のユーザーはブランドのアプリケーションが故障したと推測し、永久に離れるかもしれない。SaaS プロバイダが DNS 解決が影響を受けているがデータは安全であると説明できなければ、顧客は侵害やデータ損失を心配するかもしれない。公共サービスが市民に代替情報への到達方法を伝えられなければ、信頼が損なわれる。技術的なステータス更新は顧客維持証拠の一部となる。

DYN 攻撃は、インシデント通信がユーザーに負荷をかけることなく依存関係を名指しすべき理由を示した。明確な通知は、DNS プロバイダ攻撃によりサービスが到達性問題に直面していること、ユーザーデータとオリジンシステムは危険にさらされているとは知られていないこと、代替チャンネルが利用可能であること、更新が特定の場所に現れることを伝え得る。このメッセージは不確実性を減らす。また、企業が当時知っていたことの記録を保存する。

取締役会レベルの教訓は「もっと DNS を買え」ではない

取締役会レベルの教訓は、公共到達性をビジネス資産として扱うことである。DNS、BGP、CDN、DDoS 防御、TLS 証明書、レジストラ制御、ステータス通信はすべて収入の前に位置する。それらは技術チームに所有されているかもしれないが、それらの失敗は商業的および公共の害を生む。取締役会はすべてのレコードタイプを知る必要はない。組織がテストされた代替手段のないクリティカルな依存関係を持っているかどうかを知る必要がある。

DYN 後に有用な取締役会報告書は6つの質問に答えるだろう。どのドメインが収入クリティカルまたは公共サービスクリティカルか?どのプロバイダがそれらの権威 DNS を制御しているか?どのドメインがセカンダリ DNS または独立フェイルオーバーを持っているか?フェイルオーバーは最後にいつテストされたか?メインドメインが解決できない場合、組織はどうやって通信するか?DNS が1時間、6時間、1日低下した場合、どの収入、サポート、安全プロセスが停止するか?

同じ報告書には、所有者名と訓練結果を含めるべきである。誰も所有しないマルチプロバイダ設計は危険である。実際のレジストラと DNSSEC 制約に対してテストされていないフェイルオーバー計画は不確実である。同じ依存関係を共有するステータスページは脆弱である。アプリケーション応答のみをチェックする監視ツールはネームサービス障害を見逃す。取締役会レベルの説明責任は技術的な見せかけではない。それは、財務的および公共の義務を負う人々が依存関係を明確に見ることを確実にする方法である。

保険と契約も、DNS がこのように扱われると変わる。サイバー保険の質問には、権威 DNS の集中度とフェイルオーバーテストを含めるべきである。企業契約は、プロバイダレベル攻撃時のアップタイム依存関係と顧客通知を明確にすべきである。ベンダー管理は、DNS プロバイダがログ、攻撃概要、顧客影響データ、事後支援を提供できるかどうかを考慮すべきである。目標は、単一プロバイダを攻撃されたことで罰することではない。収入がリスクに晒される前に、顧客とプロバイダが証拠を共有することである。

恒久的修復は共有障害ドメインの削減を意味する

DYN 後の恒久的修復記録は単により大きな DDoS 容量ではない。容量は助けになる。エニーキャストは助けになる。スクラビングは助けになる。プロバイダ多様化は助けになる。顧客アーキテクチャは助けになる。IoT デバイスセキュリティは助けになる。ネットワークフィルタリングは助けになる。通信は助けになる。重要な質問は、共有障害ドメインが縮小したかどうかである。もし多くのクリティカルなサービスが未だに1つのプロバイダ、1つのレジストラアカウント、1つのステータスドメイン、1つのテストされていない緊急手順に依存しているなら、教訓は不完全のままである。

DYN および他のマネージド DNS プロバイダにとって、修復証拠には DDoS 容量、上流連携、エニーキャストフットプリント、顧客別影響可視性、ステータス透明性、攻撃波の間のサポートを含めるべきである。顧客にとっては、テスト済みのセカンダリ DNS、独立監視、レジストラ準備、DNSSEC プロセス保証、代替通信を含めるべきである。デバイスおよびネットワークエコシステムにとっては、ボットネット勧誘と不正トラフィックの削減を含めるべきである。公共セクターユーザーにとっては、DNS プロバイダ障害を前提とした継続性訓練を含めるべきである。

攻撃はまた、組織が冗長性と独立性を混同しないように注意を促す。同じプロバイダからの2つのネームサーバは技術的冗長性を提供するかもしれないが、プロバイダ独立性は提供しない。同じ侵害された自動化アカウントを通じて制御される第2のプロバイダは運用的独立性を提供しないかもしれない。同じ DNS 依存の下でホストされるステータスページは通信独立性を提供しないかもしれない。独立性は、プロバイダ、アカウント、資格情報、ネットワーク、人々を通じて追跡されなければならない。

DYN インシデントは、目立たない依存関係を公共の面前で露呈させたため、有用な説明責任事例であり続ける。インターネットは消滅しなかった。共有アドレス機能が使いにくくなった。それだけで、主要なサービスが到達不能になり、コストが顧客とユーザーに転嫁され、企業に DNS を収入基盤として扱っていたかどうかを問わせるのに十分だった。次の停止に対する答えは、攻撃の第一波が来る前に実証可能でなければならず、後に即興で作られるべきではない。

本当の DNS 訓練はフェイルオーバー図表より難しい

多くの組織はレジリエントな DNS アーキテクチャを描ける。悪い日にそれが機能することを証明できる組織は少ない。本当の訓練は、プライマリ権威プロバイダが攻撃トラフィックによって劣化していること、プロバイダコンソールが遅いこと、再帰リゾルバが地域によって不均一な挙動を示すこと、公共ステータスページが部分的に影響を受けていること、ビジネスリーダーが収入予測を求めていることを前提とすべきである。次に訓練は、チームに待つか、権威を移すか、セカンダリプロバイダを使うか、レコードを変更するか、TTL を変更するか、問題を悪化させずに劣化を伝達するかを決定させるべきである。

訓練にはレジストラ手順を含めるべきである。誰がログインできるか?レジストリロックは有効か?変更は複数人承認によって保護されているか?緊急変更はセキュリティ制御を無効にせずに行えるか?DNSSEC DS レコードは理解されているか?RFC 6781の DNSSEC 運用実践ガイダンスは、署名されたゾーンが運用上の考慮事項を追加する理由を示している;DNSSEC は真正性を強化できるが、不注意な緊急変更は検証を破壊する可能性がある。ゾーンに署名する企業は、停止前にフェイルオーバーが署名、鍵管理、委任とどのように相互作用するかを知っておくべきである。

訓練には監視の違いを含めるべきである。アプリケーション監視は何を報告するか?権威 DNS 監視は何を報告するか?異なる地域からの再帰リゾルバテストは何を報告するか?カスタマーサポートは何を聞くか?CDN は何を見るか?広告、チェックアウト、ログイン、API システムは何を報告するか?これらの信号が分離されていなければ、インシデント指揮官は誤った障害を追跡するかもしれない。DYN のケースは、ユーザーが名前を解決できない間もアプリケーションが健全であり得ることを示した。これらの信号を1つの「サイトダウン」アラームに集約する監視は対応を遅らせる。

訓練にはビジネス上の選択を含めるべきである。DNS 権威を移すことは一部のユーザーを回復させるかもしれないが、ゾーンが古いかプロバイダ機能が異なる場合、他者にリスクを生むかもしれない。待つことはミスを回避するかもしれないが、収入損失を長引かせる。代替チャンネルを通じて通信することは顧客を助けるかもしれないが、事前承認された文言を必要とする。取締役会レベルのレジリエンスプログラムは、誰がこれらのトレードオフを決定できるか、またどのような証拠が必要かを定義すべきである。技術チームは、攻撃を受けている間に商業的リスク決定を即興で行うことを強制されるべきではない。

最終的な成果は測定可能であるべきである。権威 DNS 障害を診断するのにどれだけかかったか?プロバイダに到達するのにどれだけかかったか?セカンダリプロバイダの準備状況を確認するのにどれだけかかったか?必要に応じて委任を更新するのにどれだけかかったか?顧客通知が独立チャンネルに現れるまでどれだけかかったか?収入クリティカルなフローが複数地域から到達可能になるまでどれだけかかったか?これらの時計は DNS レジリエンスをアーキテクチャの話から説明責任のある継続性へと変える。

契約はアップタイム数値だけでなくインシデントエビデンスを要求すべき

マネージド DNS 契約はしばしばサービスレベル、サポート階層、クエリ量、機能、価格を強調する。DYN 後、高依存顧客は証拠義務も求めるべきである。プロバイダが攻撃された場合、タイムライン、影響を受けた地域、攻撃特性、緩和手順、利用可能であれば顧客固有の影響、事後教訓を提供できるか?セカンダリ DNS を使用する顧客をサポートできるか?顧客の CDN、レジストラ、インシデントレスポンスチームと連携できるか?顧客が公に共有するのが安全な情報を顧客に伝えられるか?

顧客もプロバイダに明確さを提供する義務がある。どのドメインが最もクリティカルか?展開システムによってどのレコードが自動化されているか?どのプロバイダ機能が使用されているか?どの連絡先が緊急変更を承認できるか?どの公共サービスまたは規制上の義務が適用されるか?プロバイダは、顧客自身のクリティカリティマップが不明な場合、すべての顧客を等しく十分にサポートすることはできない。契約はクリティカルドメインと緊急連絡先を明示すべきである。

サービスレベル契約は有用だが不完全である。停止後のクレジットは料金のごく一部を返すかもしれないが、顧客の収入損失ははるかに大きい。より良い予防ツールは、停止前の運用的協力である。顧客はプロバイダとアーキテクチャを見直し、フェイルオーバーをテストし、ステータスチャンネルを定義すべきである。プロバイダは単に高い可用性を約束するのではなく、現実的な限界を説明すべきである。プロバイダがセキュリティ上の懸念から十分な情報を共有できない場合、危機時に共有できる抽象度のレベルを定義すべきである。

契約は変更管理にも対処すべきである。多くの停止は圧力の下で行われた緊急変更によって悪化する。2つの DNS プロバイダを使用する顧客は、ゾーン変更がどのように同期されるか、どちらのプロバイダがプライマリか、API 資格情報がどのように保護されるか、変更がどのようにレビューされるか、ロールバックがどのように機能するかを知らなければならない。展開のために自動化が DNS レコードを更新する場合、組織はその自動化が両方のプロバイダに安全に書き込めるかどうかを知る必要がある。複雑なゾーンの手動コピーに依存する緊急 DNS 計画は、チームが疲れていてビジネスがパニック状態にあるときに失敗するかもしれない。

DNS の経済性は、これへの過少投資を容易にする。マネージド DNS は、クラウドホスティング、支払処理、ソフトウェアエンジニアリングと比較して小さな費目かもしれない。しかし、停止はアプリケーション層がリクエストを見る前に収入を止めることができる。契約価値と依存価値は大幅に異なり得る。説明責任は、依存価値をレジリエンス投資の基礎として扱うことを必要とする。

公的機関も同じテストを導入できる

公的機関は、自らのサービスが製品を販売しないため、収益継続性の教訓は関連性が低いと想定することがある。DYN のケースはそうではないと言う。収入を公共アクセスに置き換えれば、依存関係は同じである。給付ポータル、緊急警報ページ、裁判所サービス、健康情報サイト、選挙情報ページ、市サービスは、DNS が上流で失敗するために到達不能になり得る。市民は原因がアプリケーションコード、DNS、DDoS トラフィック、レジストラ設定かを気にしない。市民はサービスを必要としている。

したがって、公的機関は権威 DNS 依存レジスタを維持すべきである。どのドメインが緊急通信にクリティカルか?どれが支払い、予約、法的期限、健康サービス、身分証明に使用されるか?どの DNS プロバイダがそれらをホストしているか?どのレジストラが委任を制御しているか?どのチームが週末に変更できるか?ドメインが解決できない場合にどの代替チャンネルが存在するか?どのステータスチャンネルが異なるプロバイダとドメインを使用しているか?これらは単純な質問だが、インシデントがそれらを視界に押し込むまで欠けていることが多い。

英国の NCSC(National Cyber Security Centre)によるDNS リスク管理ガイダンスは、DNS をクリティカルな依存関係と説明し、組織が所有、設定、レジストラセキュリティを理解することを奨励している。このガイダンスは DYN の教訓を補強する:DNS リスクはプロバイダだけの問題ではない。それは公共デジタルサービスを持つすべての組織にとって、所有、設定、監視、継続性の問題である。

公共セクター訓練には市民通信を含めるべきである。プライマリドメインが失敗した場合、市民はどこで更新を見るか?コールセンターは同じ情報を受け取れるか?地元事務所は通知を表示できるか?ソーシャルメディアアカウントは信頼され更新され得るか?パートナーは代替ドメインにリンクできるか?緊急サービスは事前に用意されたチャンネルを通じて通信できるか?これらの質問は技術的ではなく運用的に感じられるかもしれないが、それがポイントである。DNS 障害は、公共が情報を必要とし通常のアドレスが機能しないときに公共サービス問題になる。

同じレジスタは調達を支援できる。新しいデジタルサービスを購入する公的機関は、サービスの DNS がどのようにホストされているか、委任がどのように制御されているか、セカンダリの配置はどうか、DNSSEC がどのように扱われているか、プロバイダ障害がどのようにテストされているかを尋ねるべきである。答えが「サプライヤーがすべてを扱う」であれば、公的機関はそれでも証拠を受け取るべきである。アウトソースされた DNS は、公共サービスがそれに依存するとき、公共責任のままである。

説明責任はボットネット予防にまで及ぶべき

DYN 攻撃はデバイスポリシーについても教訓を残した。DDoS 防御者と DNS 顧客だけではボットネットの規模を解決できない。Mirai に加わったデバイスは、しばしば DYN やその顧客の直接制御の外にあった。これにより予防は困難だが、ポリシーが必要となる。デバイスメーカーはデフォルトの資格情報を避け、更新メカニズムを提供し、サポート期間を文書化し、一般ユーザーにとってセキュアな設定を現実的にすべきである。ネットワーク事業者は不正トラフィックパターンを検出し、顧客が侵害機器を修復するのを支援すべきである。小売業者と調達機関はデバイスセキュリティを購買基準として扱うべきである。

連邦取引委員会(FTC)の D-Link に対する措置は、FTC の2017年告発発表に要約されており、具体的には DYN のケースから生じたものではないが、安全でないネットワーク接続デバイスに対する説明責任の方向性を示している。消費者機器のセキュリティは、デバイス所有者にとってのプライバシー問題だけではない。規模において、弱いデバイスは無関係の被害者に対するインフラ攻撃能力となる。この外部性こそが、デバイスセキュリティが DNS 継続性の記事に属する理由である。

成熟した公開記録は、ボットネット予防をサービス継続性に結びつけるだろう。安全でないデバイスが公共サービスを到達不能にする攻撃を助長するならば、デバイス標準、ラベリング、脆弱性開示、ネットワーク不正使用対応がレジリエンスの一部である。DNS サービスを運営する主体は依然として強力な防御を必要とする。顧客は依然としてフェイルオーバーを必要とする。しかし、社会全体の攻撃対象領域も縮小する必要がある。そうでなければ、各プロバイダは単に、弱いエンドポイントの増大するプールに対して、より大きな容量を購入するだけである。

Mirai の起訴は1つの種類の説明責任を提供した:ボットネットの作成者は特定され罰せられた。それは必要だが不十分である。事後の刑事責任は、停止中に失われた売上や、サービスが到達不能だったために逃した予約を回復しない。予防的説明責任は、なぜこれほど多くのデバイスがそもそも勧誘され得たのか、誰が安全でない展開から利益を得ているのかを問う。これらの質問は分析を1つの攻撃から市場とガバナンスの問題へと移行させる。

次の DYN 類似イベントはより断片化されるかもしれない

次の大規模 DNS 到達性イベントは、1つのプロバイダが1つの明白な攻撃を受けているようには見えないかもしれない。それはレジストラ侵害、DNS 基盤に影響するルートリーク、DNSSEC ミス、クラウドプロバイダ制御問題、CDN 相互作用、再帰リゾルバ挙動、地域フィルタリングを含むかもしれない。説明責任パターンは変わらない:顧客は、それが失敗したときに初めて名前解決がビジネス依存であることを発見するだろう。プロバイダ独立性、レジストラ制御、代替通信を訓練してきた組織は、証拠をもって対応できるだろう。DNS をデフォルト設定として扱ってきた組織はより困難な時間を過ごすだろう。

断片化されたイベントは公に説明するのがより難しい。一部のユーザーがサービスに到達でき、他ができない場合、カスタマーサポートは報告をローカル問題として却下するかもしれない。キャッシュが一部のユーザーにとって問題を隠す場合、幹部は影響を過小評価するかもしれない。監視が誤ったネットワークから来る場合、対応者は影響を受けた地域を見逃すかもしれない。ステータスページがスタッフには機能するが顧客には機能しない場合、通信は誤解を招くものになる。成熟した DNS 継続性計画は、一貫しない可視性を前提とし、それを捉える監視を設計すべきである。

断片化のビジネス影響は深刻であり得る。グローバルな小売業者は特定の市場でのみチェックアウトを失うかもしれない。SaaS プロバイダは特定のリゾルバの背後にいる顧客に対して失敗するかもしれない。政府サイトは国内では到達可能だが国外ではそうでない、またはその逆かもしれない。広告、分析、サポートツールは部分的なデータを報告するかもしれない。組織が DNS 到達性をアプリケーションパフォーマンスから分離できない場合、正確に被害を計算したり正直に顧客に通知したりすることができない。

だからこそ、DYN の記録は取締役会の記憶に留まるべきである。それは、インターネットの制御面がブランド所有者が考える場所にあるとは限らないことを思い出させる。企業はレジリエントなサーバに多額を投資しても、ネーミング層で脆いかもしれない。公的機関はアプリケーションを強化しても、レジストラや DNS プロバイダ障害を通じて到達不能になるかもしれない。プロバイダは強力なネットワークを構築しても、何百万もの弱いデバイスからのトラフィックに直面するかもしれない。説明責任とは、公衆がそうする前にそれらの依存関係を見る訓練である。

実践的な基準は単純である:ドメインが収入、ケア、公共情報、または顧客信頼を運ぶのに十分クリティカルならば、その障害経路は攻撃者が全員のためにそれをテストする前にテストされるべきである。

タイポグラフィ

タイポグラフィとは、文字言語を読みやすく、視覚的に魅力的にするために文字を配置する技術である。書体、ポイントサイズ、行長、行間、字間の選択を含む。

  • タイポグラフィは15世紀にヨハネス・グーテンベルクが活字を発明したことに起源を持つ。
  • 重要な要素にはフォント選択、カーニング、トラッキング、行送りがある。
  • 優れたタイポグラフィは可読性を高め、デザインの雰囲気やトーンを伝える。

タイポグラフィ

タイポグラフィとは、文字言語を読みやすく、視覚的に魅力的にするために文字を配置する技術である。書体、ポイントサイズ、行長、行間、字間の選択を含む。

  • タイポグラフィは15世紀にヨハネス・グーテンベルクが活字を発明したことに起源を持つ。
  • 重要な要素にはフォント選択、カーニング、トラッキング、行送りがある。
  • 優れたタイポグラフィは可読性を高め、デザインの雰囲気やトーンを伝える。