ダングリングDNSは、ドメインネームシステム(DNS)内の脆弱性から生じる重大な問題である。google.comのような人間が読めるドメイン名を、101.102.25.22のような機械が読めるIPアドレスに変換することで、DNSはシームレスな接続を保証します。
DNSは電話帳のようなもので、名前と番号を結びつけて簡単にアクセスできるようにするものだと考えてください。しかし、DNSの設定ミスが発生すると、存在しない、または廃止されたリソースを指すDNSレコードがぶら下がり、ドメインが重大なセキュリティリスクにさらされる可能性があります。これらの問題に対処することは、安全なオンラインプレゼンスを維持するために不可欠です。
要点
- ぶら下がったDNSレコードは、存在しない、あるいはアクセスできないリソースを指すため、悪用されやすい。
- 一般的な原因としては、DNSの設定ミス、期限切れのクラウドリソース、非推奨IP、廃止されたサービスなどがある。
- ぶら下がったDNSレコードはサブドメイン乗っ取り攻撃につながり、攻撃者が悪意のあるコンテンツを提供することを可能にする。
- DMARC、SPF、TLS-RPT、DKIM CNAMEなどの電子メール認証レコードは特に危険です。
- 手作業による検出には、DNSレコードの監査、設定の検証、孤立したサービスの特定が含まれる。
- DNS監視システムのような自動化ツールは、検出を簡素化し、エラーを減らす。
- PowerDMARCは、DNS監視、自動サブドメイン検出、および設定ミスをチェックするための無料のPowerAnalyzerツールを提供しています。
ダングリングDNSレコードとは?
ダングリングDNSレコードとは、もはや存在しない、あるいはアクセスできないリソースを指すDNSエントリーのことである。インターネット上のサイバー犯罪者は、このようなDNSエントリーを常に探しています。これらのエントリーの中には、ドメインに関する機密情報が含まれている場合があり、脅威行為者が利益を得るためのデータの宝庫となります。
ダングリングDNSにつながる一般的なシナリオ
- DNSの誤設定
ドメイン・ネーム・システムは、私たちがアクセスしたいインターネット・リソースとは別に設定される。DNSに追加されたDNSレコードは、これらのリソースを指し示し、私たちがリソースにアクセスするのに役立ちます。場合によっては、以前に設定されたリソースがそのホストによって設定解除されることがあります。たとえば、あるDNSレコードがドメイン所有者によってサーバーのIPを指すように設定されていたとします。このサーバーは現在使用されていません。このDNSレコードは、もはや存在しないリソースを指すようになったため、「ダングリングDNS」エントリーと呼ばれます。
- 期限切れまたは削除されたクラウド・リソース
ドメイン所有者が使用していたクラウドサービスが期限切れになったり削除されたりすると、そのサービスを指すDNSレコードはすべてDanglish DNSレコードになります。このDNSレコードは依然として有効であり、攻撃者は誰でもこのリソースを使用して悪意のあるコンテンツを提供することができます。
- 非推奨IP
企業は、以前のIPが非推奨となっている間に、新しいプロバイダーにサービスを移行することができる。しかし、古いDNSレコードの更新や削除を忘れてしまう。これらの古いレコードはサブドメイン乗っ取り攻撃に対して脆弱であり、非常に簡単に悪用される可能性がある。
- サービスの廃止または中止
電子メールサーバー、ホスティングアカウント、またはサードパーティのサービスプロバイダは、廃止または退役していますが、MX、A、CNAMEレコードのようなDNSレコードはまだアクティブで、設定されています。攻撃者は、これらのアクティブなDNSレコードを悪用して、廃止されたサービスになりすますことができます。
ぶら下がるDNSレコードのリスク
Dangling DNSのような隠れたDNSの脆弱性は、ドメインの搾取やサイバー脅威につながる可能性がある。
サブドメインテイクオーバー攻撃とは?
攻撃者は、設定解除されたリソースを指すダングリングDNSエントリを検出すると、すぐにそのチャンスに飛びつきます。攻撃者は、ダングリングDNSレコードが指す(サブ)ドメインを乗っ取り、それによって、ドメインのコンテンツとリソースに完全にアクセスできる攻撃者が管理するドメインにトラフィック全体をルーティングします。
お客様のドメイン/サブドメインが攻撃者にハイジャックされた場合のその後の影響。
設定解除されたドメインやサーバーは、ドメイン所有者がコントロールできない攻撃者によって操作される悪意のあるリソースの温床となる可能性があります。つまり、攻撃者がドメイン名に対して完全に支配力を行使し、違法なサービスを運営したり、無防備な被害者に対してフィッシング・キャンペーンを行ったり、市場におけるあなたの組織の評判を落とすことができるのです。
あなたのDNSレコードはぶら下がる危険性がありますか?
答えはYesです。以下のメール認証レコードは、DNSのダングリング問題の脆弱性がある可能性があります。
電子メール認証プロトコル DMARCのような電子メール認証プロトコルは、DNSにTXTレコードを追加することによって構成されます。DMARCを活用することで、ドメイン、ベンダー、メール送信元に関する豊富な情報をレポートすることができます。
- SPFレコード
一般的に使用されているもう一つのメール送信元検証システム、 SPFは、メールの送信元として承認されたソースのリストを含むTXTレコードとしてDNSに存在します。
- TLS-RPT
SMTP TLS レポート (TLS-RPT)は、MTA-STSと共に設定される追加レポートメカニズムで、2つの通信メールサーバー間のTLS暗号化の失敗による配信可能性の問題について、JSONレポートの形でドメイン所有者に通知を送信します。
- DKIM CNAMEレコード
CNAMEレコードは、あるドメインを別のドメインに指し示すためのドメイン名のエイリアスを作成します。CNAMEを使用すると、サブドメインを、そのサブドメインに関連するすべての情報と設定を含む別のドメインに向けることができます。
たとえば、サブドメイン サブドメインはCNAME のエイリアスです。.したがって、サーバーが mail.domain.comにルーティングされます。を検索すると にルーティングされます。.
あなたの DKIM認証システムは、多くの場合CNAMEレコードとしてDNSに追加されます。
これらの各エントリには、組織のドメイン、メールデータ、IPアドレス、メール送信元に関する貴重な情報が含まれています。見落としがちな構文エラーは、長期間検出されない可能性のあるダングリングレコードにつながることがあります。また、DKIM CNAMEやSPFレコードを指すホストによって廃止されたドメインも、同じ問題を引き起こす可能性があります。
注意以下の点に注意することが重要である。 MX、NS、A、およびAAAレコードもDangling DNSの影響を受けやすいことに注意してください。. 本記事では、このような影響を及ぼすメール認証レコードのみを取り上げ、その修正方法に関するソリューションを提供します。
ぶら下がるDNSレコードを見つけるには?
プロビジョニングされていないリソースを指しているDNSレコードを初期段階で特定することは、ブランドを保護するのに役立つ。手動と自動の2つの方法がある。
1.手動DNS検出
時間はかかるが、手動監査は古いDNSレコードを発見するのに役立つ:
- DNSエントリーを監査する:DNS管理システムのすべてのDNSレコードを、環境のアクティブなリソースと照合する。存在しないサービスやIPを指しているエントリーを探します。
- DNS設定を検証する:以下のようなツールを使用する。 nslookupまたは digなどのツールを使って各レコードに問い合わせ、対応するリソースがプロビジョニングされ、アクティブになっていることを確認する。
- サービスを停止していないか確認する:サードパーティホスティング、クラウドプラットフォーム、CDNプロバイダーなど、関連するDNSエントリーを削除せずに終了した可能性のあるサービスを調査する。
手動の方法は徹底しているが、人為的なミスが起こりやすく、大規模または複雑なDNS設定を持つドメインでは管理不能になる可能性がある。
2.ダングリングDNSの自動検出
DNS監視ツールは、このような状況で役に立つことが証明できる。DNS監視ツールは、あなたのドメインやサブドメインの名簿のようなもので、ドメインやサブドメインに関連するすべての関連データを、随時簡単に監視できるように整理された形で集めた1つのプラットフォームだと考えてください。
PowerDMARCはまさにそれを実現します。ドメイン監視ツールにサインアップすると、登録されているすべてのルートドメインを集めたカスタマイズされたダッシュボードにアクセスすることができます。私たちの全く新しい機能は、ユーザーが手動で登録することなく、システムが検出したサブドメインを自動的に追加することができます。
ドメインの記録を無料でチェック!
ドメイン監視のためにフルタイムのサービスにコミットしたくない場合は、以下の方法があります。 ドメインチェックPowerAnalyzerツールでチェックできます。無料です!ドメイン名を入力して "Check now "をクリックすると、すべてのDNSレコードのコンフィギュレーションと、検出されたコンフィギュレーションの誤りを、迅速に解決するためのヒントとともに表示することができます。
- SPFチェックに失敗しました。[解決済み]- 2025年 1月 7日
- DNSの脆弱性:トップ5の脅威と緩和策- 2025年1月1日
- DKIM Signature is Not Valid(DKIM署名が有効ではありません)」エラーを修正するには?- 2024年12月24日