DNSに関連するサイバー攻撃やトラブルが発生すれば、企業や組織は甚大な被害を受ける。被害を防ぐためには対策を取る必要がある。実際の攻撃に使われる手法を見れば、取るべき対策が見えてくる。

トラブルを防ぐ3つのポイント

 まず権威DNSサーバーに不要なレコードを残さないこと。2つめは誰からのアクセスでも受け入れてしまうオープンリゾルバーにしないこと。最後が適切な防御策を実施することである。以下、それぞれ詳しく見ていこう。

DNS関連のトラブルを防ぐ3つのポイント
[画像のクリックで拡大表示]

 1つめの対策が不十分なために発生した典型的なトラブルが、大手企業のドメイン名を使った詐欺サイトの設置である。その攻撃手法であるサブドメインテイクオーバーは、削除し忘れた不要なCNAMEレコードを悪用する。これがなければ攻撃は起きない。

 ほかにも権威DNSサーバーの不要なレコードが原因でトラブルになったケースがある。

 2018年、ある通信事業者がクラウドサービスで運用していたWebサイトを別のドメインに移行した。このときクラウドサービスを解約したが、権威DNSサーバーのAレコードは残したままだった。その後クラウドサービス事業者がその通信事業者に割り当てていたIPアドレスを別の企業に割り当てたため、旧ドメイン名にアクセスすると別企業のサーバーにアクセスしてしまうようになった。

 こういったトラブルの根本的な対策としてJPRSは、Webサイトの公開時に設定したAレコードやCNAMEレコードを公開終了時に確実に削除することを挙げている。

 ただ権威DNSサーバーを一元的に管理していない組織は多い。そこで組織のシステム部門が、組織全体のレコードを定期的に確認することを習慣にするのだ。

 具体的にはどのレコードが必要か不要かを判断するために利用中のドメインを棚卸しする。そして権威DNSサーバーで不要になったレコードや設定を削除する。

 併せてドメイン名を登録する際のルールを決めておく。一時的に利用するサイトのためにドメイン名を登録すると、手放した後にそのドメイン名が第三者に使われる可能性があるからだ。この行為は「ドロップキャッチ」と呼ばれ、フィッシング詐欺などに悪用される恐れがある。一時的に使用するサイトならサブドメインで対応すべきだ。

名前解決の受け付けを制限する

 2つめの対策はDDoS攻撃に加担させないために、キャッシュDNSサーバーをオープンリゾルバーとして運用しないことだ。2013年以降、情報処理推進機構(IPA)や日本ネットワークインフォメーションセンター(JPNIC)、警察庁などが、キャッシュDNSサーバー設置者に向けて、問い合わせを受け付ける対象を制限するよう繰り返し呼びかけている。

 主に家庭で利用されるBBルーターもオープンリゾルバーになっているケースがある。BBルーターはLAN側からの名前解決を中継するDNSフォワーディング機能を備える。ところが一部のBBルーターは、インターネット側からの問い合わせでも名前解決を中継してしまうことが確認されている。多くのベンダーがこれを脆弱性として認識し対策用の更新プログラムを公開している。BBルーターのソフトウエアをアップデートすれば、インターネット側からの名前解決を受け付けない。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。