ぶら下がるDNSレコード:サブドメインの乗っ取りを防ぐには?

ブログ

DNSレコードのぶら下がりは、サブドメインの乗っ取りやデータ漏洩など、深刻なリスクをもたらします。その原因やリスク、ドメインの安全性を確保する方法についてご紹介します。

byユネス・タラダ

最終更新日:
6 読了時間:約6分
ぶら下がるDNSレコード:サブドメインの乗っ取りを防ぐには?
目次-

ダングリングDNSは、ドメインネームシステム(DNS)内の脆弱性から生じる重大な問題である。google.comのような人間が読めるドメイン名を、101.102.25.22のような機械が読めるIPアドレスに変換することで、DNSはシームレスな接続を保証します。

DNSは電話帳のようなもので、名前と番号を結びつけて簡単にアクセスできるようにするものだと考えてください。しかし、DNSの設定ミスが発生すると、存在しない、または廃止されたリソースを指すDNSレコードがぶら下がり、ドメインが重大なセキュリティリスクにさらされる可能性があります。これらの問題に対処することは、安全なオンラインプレゼンスを維持するために不可欠です。

主なポイント

  1. ぶら下がったDNSレコードは、存在しない、または廃止されたリソースを指すことにより、ドメインを重大なセキュリティリスクにさらす。
  2. ダングリングDNSレコードの一般的な原因には、設定ミス、期限切れのサービス、廃止されたホスティングアカウントなどがあります。
  3. サブドメイン・テイクオーバー攻撃は、DNSレコードのぶら下がりによって引き起こされる可能性があり、攻撃者は侵害されたドメインを通じて悪意のあるコンテンツを制御し、提供することができます。
  4. 電子メール認証レコードは、DNSのダングリング問題に対して特に脆弱であり、適切なコンフィギュレーションを確保するために定期的な監視が必要である。
  5. ダングリングDNSレコードを効果的に検出し、対処するには、手動監査と自動DNS監視ツールの両方が不可欠です。

ダングリングDNSレコードとは?

ダングリングDNSレコードとは、もはや存在しない、あるいはアクセスできないリソースを指すDNSエントリーのことである。インターネット上のサイバー犯罪者は、このようなDNSエントリーを常に探しています。これらのエントリーの中には、ドメインに関する機密情報が含まれている場合があり、脅威行為者が利益を得るためのデータの宝庫となります。 

ダングリングDNSにつながる一般的なシナリオ

  • DNSの誤設定

ドメイン・ネーム・システムは、私たちがアクセスしたいインターネット・リソースとは別に設定される。DNSに追加されたDNSレコードは、これらのリソースを指し示し、私たちがリソースにアクセスするのに役立ちます。場合によっては、以前に設定されたリソースがそのホストによって設定解除されることがあります。たとえば、あるDNSレコードがドメイン所有者によってサーバーのIPを指すように設定されていたとします。このサーバーは現在使用されていません。このDNSレコードは、もはや存在しないリソースを指すようになったため、「ダングリングDNS」エントリーと呼ばれます。 

  • 期限切れまたは削除されたクラウド・リソース

ドメイン所有者が使用していたクラウドサービスが期限切れになったり削除されたりすると、そのサービスを指すDNSレコードはすべてDanglish DNSレコードになります。このDNSレコードは依然として有効であり、攻撃者は誰でもこのリソースを使用して悪意のあるコンテンツを提供することができます。 

  • 非推奨IP

企業は、以前のIPが非推奨となっている間に、新しいプロバイダーにサービスを移行することができる。しかし、古いDNSレコードの更新や削除を忘れてしまう。これらの古いレコードはサブドメイン乗っ取り攻撃に対して脆弱であり、非常に簡単に悪用される可能性がある。 

  • サービスの廃止または中止

電子メールサーバー、ホスティングアカウント、またはサードパーティのサービスプロバイダは、廃止または退役していますが、MX、A、CNAMEレコードのようなDNSレコードはまだアクティブで、設定されています。攻撃者は、これらのアクティブなDNSレコードを悪用して、廃止されたサービスになりすますことができます。 

 

PowerDMARCでDNSレコードをシンプルに!

15日間のトライアルデモを予約する

ぶら下がるDNSレコードのリスク

Dangling DNSのような隠れたDNSの脆弱性は、ドメインの搾取やサイバー脅威につながる可能性がある。 

サブドメインテイクオーバー攻撃とは?

攻撃者は、設定解除されたリソースを指すダングリングDNSエントリを検出すると、すぐにそのチャンスに飛びつきます。攻撃者は、ダングリングDNSレコードが指す(サブ)ドメインを乗っ取り、それによって、ドメインのコンテンツとリソースに完全にアクセスできる攻撃者が管理するドメインにトラフィック全体をルーティングします。

お客様のドメイン/サブドメインが攻撃者にハイジャックされた場合のその後の影響。 

ぶら下がりDNSが攻撃者ドメインへのサブドメインハイジャックを引き起こす

設定解除されたドメインやサーバーは、ドメイン所有者がコントロールできない攻撃者によって操作される悪意のあるリソースの温床となる可能性があります。つまり、攻撃者がドメイン名に対して完全に支配力を行使し、違法なサービスを運営したり、無防備な被害者に対してフィッシング・キャンペーンを行ったり、市場におけるあなたの組織の評判を落とすことができるのです。 

あなたのDNSレコードはぶら下がる危険性がありますか?

答えはYesです。以下のメール認証レコードは、DNSのダングリング問題の脆弱性がある可能性があります。 

電子メール認証プロトコル DMARCのような電子メール認証プロトコルは、DNSにTXTレコードを追加することによって構成されます。DMARCを活用することで、ドメイン、ベンダー、メール送信元に関する豊富な情報をレポートすることができます。

  • SPFレコード

一般的に使用されているもう一つのメール送信元検証システム、 SPFは、メールの送信元として承認されたソースのリストを含むTXTレコードとしてDNSに存在します。

  • TLS-RPT

SMTPTLSレポート (TLS-RPT)は、MTA-STSと共に設定される追加レポートメカニズムで、2つの通信メールサーバー間のTLS暗号化の失敗による配信可能性の問題について、JSONレポートの形でドメイン所有者に通知を送信します。

  • DKIM CNAMEレコード

CNAMEレコードは、あるドメインを別のドメインに指し示すためのドメイン名のエイリアスを作成します。CNAMEを使用すると、サブドメインを、そのサブドメインに関連するすべての情報と設定を含む別のドメインに向けることができます。 

たとえば、サブドメイン サブドメインはCNAME のエイリアスです。.したがって、サーバーが mail.domain.comにルーティングされます。を検索すると にルーティングされます。.

あなたの DKIM認証システムは、多くの場合CNAMEレコードとしてDNSに追加されます。

これらの各エントリには、組織のドメイン、メールデータ、IPアドレス、メール送信元に関する貴重な情報が含まれています。見落としがちな構文エラーは、長期間検出されない可能性のあるダングリングレコードにつながることがあります。また、DKIM CNAMEやSPFレコードを指すホストによって廃止されたドメインも、同じ問題を引き起こす可能性があります。 

注意以下の点に注意することが重要である。 MX、NS、A、およびAAAレコードもDangling DNSの影響を受けやすいことに注意してください。. 本記事では、このような影響を及ぼすメール認証レコードのみを取り上げ、その修正方法に関するソリューションを提供します。

ぶら下がるDNSレコードを見つけるには?

プロビジョニングされていないリソースを指しているDNSレコードを初期段階で特定することは、ブランドを保護するのに役立つ。手動と自動の2つの方法がある。 

1.手動DNS検出

時間はかかるが、手動監査は古いDNSレコードを発見するのに役立つ:

  • DNSエントリーを監査する:DNS管理システムのすべてのDNSレコードを、環境のアクティブなリソースと照合する。存在しないサービスやIPを指しているエントリーを探します。
  • DNS設定を検証する:以下のようなツールを使用する。 nslookupまたは digなどのツールを使って各レコードに問い合わせ、対応するリソースがプロビジョニングされ、アクティブになっていることを確認する。
  • サービスを停止していないか確認する:サードパーティホスティング、クラウドプラットフォーム、CDNプロバイダーなど、関連するDNSエントリーを削除せずに終了した可能性のあるサービスを調査する。

手動の方法は徹底しているが、人為的なミスが起こりやすく、大規模または複雑なDNS設定を持つドメインでは管理不能になる可能性がある。

2.ダングリングDNSの自動検出

DNS監視ツールは、このような状況で役に立つことが証明できる。DNS監視ツールは、あなたのドメインやサブドメインの名簿のようなもので、ドメインやサブドメインに関連するすべての関連データを、随時簡単に監視できるように整理された形で集めた1つのプラットフォームだと考えてください。 

PowerDMARCはまさにそれを実現します。ドメイン監視ツールにサインアップすると、登録されているすべてのルートドメインを集めたカスタマイズされたダッシュボードにアクセスすることができます。私たちの全く新しい機能は、ユーザーが手動で登録することなく、システムが検出したサブドメインを自動的に追加することができます。

ドメインの記録を無料でチェック!

ドメイン監視のためにフルタイムのサービスにコミットしたくない場合は、以下の方法があります。 ドメインチェックPowerAnalyzerツールでチェックできます。無料です!ドメイン名を入力して "Check now "をクリックすると、すべてのDNSレコードのコンフィギュレーションと、検出されたコンフィギュレーションの誤りを、迅速に解決するためのヒントとともに表示することができます。

最新記事 by Yunes Tarada(全て見る)
最終更新日:
PowerDMARCがConnectWiseと統合PowerDMARCの代替製品と競合製品トップ10:詳細な機能比較