目次

ダングリングDNSとは?

目次

ダングリングDNSを理解するには、DNSの基本を理解する必要があります。DNSは、覚えやすく認識しやすいpaloaltonetworks.comなどのユーザーフレンドリーなドメイン名を、数値のIPアドレスに変換するプロトコルです。各ドメインのIPアドレスは、インターネットの電話帳のような役割を果たす権威DNSサーバーに保存されています。ブラウザにウェブサイトのアドレスを入力すると、ブラウザはまず再帰DNSサーバーに接続し、"paloaltonetworks.comのIPアドレスは?"と質問します。再帰DNSサーバーは、権威サーバーにクエリを送信して回答を求めます。

 

CNAMEとは

DNS権威サーバーに保存されるレコードの一般的なタイプは、権威の開始(SOA)、IPアドレス、ネームサーバー(NS)、DNS逆引き用ポインタ(PTR)、およびカノニカルネームレコード(CNAME)です。

CNAMEはDNSデータベースレコードの一種で、他のドメインのエイリアスとして機能し、IPアドレスの代わりにドメインを指します。CNAMEレコードは通常、同じ組織が所有する重大度ウェブサイトをプライマリウェブサイトにポイントしたり、異なる国間で同じドメインを登録し、各ドメインが親ドメインをポイントしたりするために使用されます。

supercompany[.]comというドメインを持つあなたの会社が、新しいサービスや製品を立ち上げ、superproduct[.]supercomany[.]comという新しいサブドメイン名を作成したとします。このサブドメインが誰もが認識する親ドメインのエイリアスとして設定されている場合、superproduct[.]supercomany[.]comというサブドメインは、supercompany[.]comを指すCNAMEレコードを持つことになります。

 

ぶら下がりDNS

DNSレコードはドメイン名を他のドメインに指し示しますが、ドメインが放棄されると、そのDNSレコードはぶら下がったままになります。放置されているため、このドメインは脅威アクターに簡単に乗っ取られ、ネットワークへの初期アクセスに利用されます。攻撃者は、フィッシングやその他のソーシャルエンジニアリング攻撃に、このダングリングDNSのテクニックをよく使用します。例えば、superproduct.supercomany.comがsuperproduct.comのような別のドメイン、またはcompute1234.amazonaws.comのような外部のホスト名やIPを指していて、会社がsuperproduct.comという名前やそれをホストしているコンピュートノードから移動しても、CNAME superproduct.supercomany.comが期限切れのドメインや外部のホスト名やIPを指していることを忘れたとします。これにより、メインドメインのsupercomany.comは、攻撃者が悪意のあるサイトをホストするのに最適な場所となりました。ハッカーは、superproduct.supercomany.comが記載されたSSL証明書をインストールし、会社の評判を犠牲にして悪意のあるコンテンツを配信することができます。

Palo Alto NetworksのDNSセキュリティについては、 https://www.paloaltonetworks.jp/network-security/advanced-dns-security。Dangling DNSの詳細については、当社のブログ「 Dangling Domains」をご覧ください:セキュリティ脅威、検知、蔓延

 

ぶら下がりDNS FAQ

ぶら下がったDNSレコードは、もはや有効でない、またはドメイン所有者の管理下にないドメインやサービスを指すため、重大なセキュリティリスクを引き起こす可能性があります。攻撃者は、期限切れのドメインを登録し、サブドメインを制御し、トラフィックの傍受、機密データの窃取、フィッシング攻撃、マルウェアの配布に使用することで、これらのレコードを悪用することができます。その結果、システムへの不正アクセス、データ漏洩、正規サービスのなりすましなどが発生する可能性があります。
サブドメインの乗っ取りは、攻撃者がDNSレコードでまだ有効なサブドメインの制御権を取得することで発生しますが、ドメイン所有者の制御下になくなったリソースを指しています。ぶら下がったDNSレコード、特にCNAMEレコードやMXレコードは、しばしばサブドメインの乗っ取りにつながります。例えば、CNAMEレコードが廃止された外部サービスを指しているとします。この場合、攻撃者はその外部ドメインを登録し、サブドメインを乗っ取ることで、悪意のあるコンテンツをホストしたり、正規ドメイン向けの通信を傍受したりすることができます。
組織は、DNSレコードを定期的に監査して更新し、不要になったものや廃止されたリソースを指すものを削除することで、自らを守ることができます。また、DMARC(Domain-based Message Authentication, Reporting, and Conformance)やDKIM(DomainKeys Identified Mail)を有効にしてメール認証を行うなど、セキュリティ対策も実装しておくと、フィッシングやなりすまし攻撃でDNSレコードが悪用されるのを防ぐことができます。さらに、アクティブなリソースに関連付けられたDNSエイリアスレコードを使用することで、ダングリング参照の発生を防ぐことができます。
DNSのぶら下がり脆弱性は、期限切れドメインを指すDNS MXレコードなど、さまざまな方法で悪用される可能性があり、攻撃者は電子メールを傍受したり、フィッシング・キャンペーンにドメインを使用したりすることができます。同様に、攻撃者は未使用のCNAMEレコードを狙ってサブドメインを乗っ取り、悪意のあるコンテンツをホストすることができます。複数のドメインやサブドメインを持つ組織は、不正使用を防ぐためにこれらのレコードに細心の注意を払う必要があります。
DNSレコードのぶら下がりは、新興企業から大企業まで、あらゆる規模の組織に関係します。大組織ほどDNSインフラが充実しているため、レコードが見落とされるリスクが高いかもしれませんが、DNSレコードが適切に管理されていなければ、小規模な企業であっても標的にされる可能性があります。組織の規模にかかわらず、DNSエントリを定期的に監視・管理することは、このリスクを軽減するために非常に重要です。
関連コンテンツ
高度なDNSセキュリティによるネットワークの保護
ネットワークを攻撃から守り、データ漏洩を防ぎ、シームレスなセキュリティ管理を実現する方法をご紹介します。
ビデオPalo Alto Networksの高度なDNSセキュリティ
業界で最も包括的なDNSセキュリティソリューションで、DNSレイヤーの脅威を一掃します。
高度なDNSセキュリティ技術資料
クラウドベースの分析プラットフォームであるPrecision AIを使用して、DNSトラフィックを自動的に保護します。
高度なDNSセキュリティ
Palo Alto NetworkのAdvanced DNS Security with Precision AIで、DNSハイジャック攻撃をリアルタイムで阻止します。

最新ニュース、イベント情報、脅威アラートを配信