2013年12月2日12:00に変更実施します
対象DNSサーバのIPアドレス

  • 210.130.0.1
  • 210.130.1.1
  • 210.130.232.1
  • 202.232.2.38
  • 202.232.2.39

(202.232.2.38, 39は法人向けに提供しているサーバのため、mio/4Uのお知らせに含まれていませんが、同時に実施します。)

今回のてくろぐは、皆さんへのお願いのために書いています。特に読んで頂きたいのは「以前IIJのサービスをご利用頂いていたが、何らかの事情で今は利用していない方」です。

と、言うのも、今回お知らせする件は、「現在もIIJをご利用頂いている方」にはあまり影響がなく、「今は利用していない方」の中の一部の方に影響が出る可能性があるためです。現在もIIJをご利用中のお客様へは、サポートセンターや担当営業からご案内を差し上げる事ができますが、そうでない方にはご連絡を行うことができません。そこでこのblogを使って広く呼びかけを行うことにいたしました。

DNSサーバの仕様変更を行います

IIJが提供しているDNSサーバの中で、「リゾルバ(Resolver)」または「キャッシュDNSサーバ」と呼ばれるサーバについて、仕様の変更を行います。

※法人サービスをご利用のお客様には別途ご案内を差し上げています。

キャッシュDNSサーバ仕様変更
キャッシュDNSサーバ仕様変更

従来はIIJのインターネット接続サービスを利用していない場合でも、つまり、インターネット上のどこからでも、IIJのキャッシュDNSサーバを使うことができました。しかし、設定変更後はIIJのインターネット接続サービスを利用していない場合、IIJのキャッシュDNSサーバは利用できなくなります。

なぜこのような変更を行う事になったのか……実は、このようにインターネット上のどこからでも使えるキャッシュDNSサーバは「オープンリゾルバ(Open Resolver)」と呼ばれており、インターネット上での攻撃に使われるなど、一種の社会問題となっています。この状態を改善するために、今回の設定変更を行うことになったのです。

オープンリゾルバ問題についての詳しい説明は、IIJの技術情報で詳しくご説明しています。

なぜ、このような問題のある状況が今まで続いていたのか。これは、上記の文章中でも触れていますが、核心部分のみ以下に引用いたします。つまり、歴史的経緯と言うことです。

最近の感覚からするとずいぶん牧歌的に過ぎますが、過去にはそういう時代もあったのです。

この設定変更で何が起こるのか

まず、最初に強調しておきたいことは、個人利用・法人利用ともに、影響がある方はかなり少ないと推測されるということです。具体的にどのようなケースで影響がでるのかはこの後の章で紹介しますが、例えばここ数年にIIJを使い始められた方は影響ないケースがほとんどです。(例えば、最近ご利用が急増しているIIJmio高速モバイル/Dを一般的な利用方法で使っている場合、影響はありません)

もし、影響が出てしまった場合にどうなるのかというと、「インターネットが使えなくなったように見える」という現象が発生します。

  • ブラウザを立ち上げてURLを入力しても「サーバが見つからない」と表示される
  • メールの送受信を行おうとしても「サーバが応答しない」と表示される

実際にはインターネットと通信ができなくなっているわけではありません。どういうことかというと、たとえば、http://www.example.jp/というWebサイトを閲覧するときには、

  1. キャッシュDNSサーバに、www.example.jpのIPアドレスを問い合わせる
  2. 問い合せで判明したIPアドレスに向かって通信をする

という二つの手順を踏みます。今回のDNSサーバの仕様変更によって、(1)が影響を受けるため、その後の通信が行えなくなり、結果「インターネットが使えない」ように見えてしまう、というのが真相です。

正しくないキャッシュDNSサーバの使い方
正しくないキャッシュDNSサーバの使い方

影響を回避するには?

キャッシュDNSサーバは、IIJだけが提供しているものではありません。インターネット接続サービスを提供しているISP各社は自社のお客様向けにキャッシュDNSサーバを提供しているのが一般的です。ですので、IIJ以外のISPをお使いの方は、そのISPが提供するキャッシュDNSサーバを使って頂ければ問題ありません。

正しいキャッシュDNSサーバの使い方
正しいキャッシュDNSサーバの使い方

キャッシュDNSサーバの設定は、パソコンやブロードバンドルータに行います。特にブロードバンドルータは様々な機種があるため、すべての例を示すことはできませんが、代表的な画面を以下に紹介いたします。

DNSサーバの設定 (WindowsXP) DNSサーバの設定(ブロードバンドルータの例)
WindowsXP ブロードバンドルータの例1

これらの設定項目には、各ISPのマニュアルに書かれたIPアドレスを記入するようにして下さい。2

ちなみにIIJのブロードバンド接続サービス(フレッツシリーズ対応サービス)では、DNSサーバの設定を「自動取得」にしておくことを推奨しています。3

こんなケースでご注意下さい

それでは最後に、具体的にどのようなケースで影響が出るのかを紹介します。

以下の4パターンは、IIJ社内で「きっとこの状態の人がいるはず」と推測しているケースです。これを読んで「あっ」と思った方は、確認をお願いします。

ケース1: 以前IIJを利用していた。現在は別のISPを利用している。

ISPを変更したんだからDNSサーバの設定も変更しているはずと思い込んでいたら……というパターンです。落とし穴として、ブロードバンドルータの設定は変更していたものの、何故かパソコンには個別にIIJのDNSサーバを設定しており、そちらの設定を変更するのを忘れていた。などという可能性も考えられます。

ケース1

ケース2: ブロードバンド接続サービスとモバイル通信サービスを併用しており、ISPが異なる

これはケース1の変形パターンとも言えます。たとえばノートパソコンを使っていて、自宅ではIIJのブロードバンドサービス、出先では他社のモバイル通信サービスを併用しているケースです。ホットスポットなど、公衆Wi-Fiサービスもありますね。

このような使い方でも、それぞれの接続設定でDNSサーバの設定を「自動取得」にしてあれば問題ありませんが、ネットワークアダプタの設定にDNSサーバのIPアドレスを書いてしまっている場合、ケース1と同じ現象が起こる可能性があります。

ノートパソコンによっては「通信プロファイル」という名前でIPアドレスやDNSサーバの設定を自動的に切り替えてくれるアプリが入っていることもあります。このようなアプリを使っている場合、意図せずに設定が書き換わってしまうこともありますので、アプリ側の設定も確認して下さい。

ケース3: IIJと他ISPのブロードバンド回線を利用し、「回線冗長化装置」を設置している

個人でこのような使い方はほぼ無いと思いますが、法人利用ではこのような使い方をする事があります。小規模なオフィスや店舗で、万が一の障害発生時のためのバックアップ回線を使う構成です。専用の回線冗長化装置を使うこともあれば、IIJ SEILシリーズやYAMAHA RTXシリーズ、NEC IXシリーズなどの業務用ブロードバンドルータを利用する場合もあります。

回線は、「ブロードバンド回線×ブロードバンド回線」という組み合わせもあれば、「ブロードバンド回線×ISDN回線」や「ブロードバンド回線×モバイル回線」という組み合わせもあります。これらの回線が、両方とも同じISPであれば問題はありませんが、異なるISPを組み合わせている場合は今回の仕様変更の影響を受けることがあります。

具体的には、普段IIJの回線に接続していて、IIJのDNSサーバを使っており、障害発生時に他の回線(他のISP)に迂回するような構成です。迂回側に切り替わったときにも引き続きIIJのDNSサーバを利用するような設定だと、結果的に他ISPを経由してIIJのDNSサーバにアクセスすることになってしまうため、制限にかかってしまいDNSサーバが利用できません。(そして、インターネットが使えません)

この構成では、いざ回線が切り替わったときになって「あっ」と気づくということが予測されます。IIJのDNSサーバの設定を変更したタイミングでは特に何も起こらないため、問題の発見が遅れるというやっかいなケースです。

ケース3

ケース4: IIJとなんの関係もないけれど、IIJのDNSサーバを使っている

IIJのDNSサーバは古くから存在して、アクセス制限もかけていませんでした。このため、半ばpublicなサーバとして、なんとなくIIJのDNSサーバを使われていた人もいらっしゃると思います。「IIJのサーバなら」と評価して頂いたことは嬉しく思いますが、残念ながら今後はご利用頂けなくなります。

また、最近はスマートフォンのライフハックblogなどで「通信が速くなる魔法の数字」のようなお題目で、DNSサーバのIPアドレスだけが出回ることがあります。こういったblogでIIJのDNSサーバのアドレスが紹介される事もあるようで、それが何と気づかないうちにIIJのDNSサーバを使われている事も考えられます。

補足

IIJが構築、運用を担当した案件について、一部これらのパターンに該当する案件があります。該当案件については個別にIIJの担当者よりご案内を差し上げています。

DNSサーバには、リゾルバー(キャッシュサーバ)以外に、コンテンツサーバと呼ばれるものもあります。コンテンツサーバは”iij.ad.jp”のようなドメインの情報を管理するためのサーバです。

IIJではDNSコンテンツサーバも提供していますが、今回の件はこちらには関係しません。IIJのDNSサーバで管理しているドメインは、今後も従来通りご利用頂けます。

9/19に「SEILシリーズに対するオープンリゾルバー問題の影響について」というご案内を掲載いたしました。こちらは、IIJが開発しているルータ(SEILシリーズ)自身が、設定によってオープンリゾルバとして動作してしまう件についてのお知らせです。対象の機器をご利用中の方はご一読下さい。

「歴史的経緯」と向き合ってゆきます

IIJの「オープンリゾルバ対策」について、よびかけとお願いをまとめました。

IIJが設立されてから20年。長い間サービスを提供してきたから、というのはいいわけにしかなりませんが、残念ながらIIJには他にも過去の経緯を引きずっている設備がいくつか残っています。IIJは「最新の技術」も追いかけていますが、それと同時にこのような古くて現在では適切ではない設備についても対応をおろそかにしてはいけないと、襟を正しています。今回のオープンリゾルバだけでなく、他にも残っている問題がありますので、そういったものについても順次対応を行っていきたいと考えています。

本日の関連コンテンツ

  1. NEC AtermWR8700Nの設定画面をオンラインマニュアルより引用させて頂きました。 []
  2. IIJはいくつかのISPに接続サービスをOEM提供しています。これらのISPはIIJブランドではありませんが、IIJと同じDNSサーバをご利用頂くように案内している場合もあります。ですので、「IIJを使っていないはずなのにIIJのDNSサーバのアドレスが書いてある」からといって、それが間違った設定ではないケースもあります。お手数ですが、それぞれご利用中のISPのマニュアルを参照頂くようにお願いいたします。 []
  3. 現在は自動取得を推奨しています。かつて、明示的にDNSサーバのIPアドレスを設定頂く事を推奨していた時期もありました。 []
Posted in DNS.