DNSの設定不備が引き起こすサブドメインの乗っ取り

2025年1月にNHKは、日本の政府機関などが利用する”go.jp”ドメインの管理に5つの省庁やその関連機関で不備があり、第三者に不正利用される可能性があったということを報じました。このうち、国土交通省が過去に使ったウェブサイトのドメインについては、実際にタイのオンラインカジノにつながる広告サイトに一時流用されていたことを報じています。[i]
このドメイン管理の不備は、従来からDangling records(ダングリングレコード)「宙ぶらりんのレコード」と呼ばれている問題であると推測されます。

Dangling recordsとは、存在しない、あるいはアクセス不能な実体を指すリソースレコードのことを表す用語です。例えば、ゾーン内のCNAMEレコードの指定先のサーバが存在しないケースや、同じく、Aレコードの指定先のサーバ（IPアドレス）が応答を返さないケースなどがあります。これに加えて、親ゾーンのNSレコードとして指定されている権威サーバ側に子ゾーンが存在しない（lame delegation）ケースなどが含まれます。

ここでは、CNAMEレコードのケースを例に図1に記載します。”example.com”ドメイン内で、”www.example.com”という名前でWebサーバが公開されています。このWebサーバは外部のサービス（ホスティングサービスやパブリッククラウド、CDN等）を使って構成されているため、CNAMEレコードで外部サービスのFQDNである”app-example. xn--eckwd4c7cu47r2wf.jp”を指定しています。

「サービス運用中」の段階では、全て正常の状態であり、問題は発生しません。

その後、このWebサーバで提供していたサービスが廃止されることになり、外部サービスを解約しました。一方、CNAMEレコードはそのまま残った状態だったとします。この状態が、Dangling Recordsと呼ばれる状態です。”www.example.com”で指定されている”app-example. xn--eckwd4c7cu47r2wf.jp”の実体が存在しなくなっています。

さらに、その後、悪意のある第三者が、”app-example. xn--eckwd4c7cu47r2wf.jp”という同じFQDNを使用してWebサーバを作成したとします。このタイミングで、”www.example.com”は乗っ取られることになります。最悪の場合、
”www.example.com”にアクセスしてきたユーザの情報が抜き取られたり（フィッシングサイトとして使用）、マルウェア等の配布に使用したりといった悪用が想定されます。

このように、Dangling recordsは、場合によっては重大なインシデントを引き起こす。Dangling recordsの発生を防ぎ、また発生した場合はできるだけ早く対処することが重要です。具体的には、以下のような方策が考えられます。

1.       リソース廃止時に、適切なDNSレコードを削除する
外部サービス（ホスティングサービス、パブリッククラウド、CDN等）の利用をやめた場合、設定しているCNAMEレコードやAレコードを削除すること。またサブドメインを廃止する場合には、親ゾーン側で設定している子ゾーンのNSレコードを削除するなど、リソースの廃止にあわせて、適切にDNSレコードを削除することで、Dangling recordsの発生を防止します。

2.       定期的なDNSレコードの監査

自社で管理しているゾーンの中に、不要なレコードがないかを定期的にチェックし、Dangling recordsを含む不要なレコードを削除することで、Dangling recordsが悪用される可能性を低くします。

3.       ツールによるDNSレコードの監視

2とも重複する部分はありますが、Dangling recordsのような問題がある設定を検出するツールを活用し、検出次第、対処を行うことで、悪用される可能性を低くします。

F5 Distributed Cloud Services(F5 XC)の脆弱性診断サービスであるWeb App Scanningでは、Reconという機能で、企業ドメイン内のWeb/APIサービスに関連するDangling recordsの検出を行うことができます。Reconは、50以上のインターネット上の様々な情報ソースを元に、公開されているWeb/APIサービスの洗い出しを行う機能ですが、この機能の一環として、Dangling recordsの検出をサポートしています。

本ブログでは、Dangling recordsというドメインの乗っ取りに繋がる事象についてご紹介しました。Dangling recordsを防ぐには、DNSのゾーンとレコードの管理が重要となります。これに加えて、ツールでのDNSレコードの監視も有効であることは、先に述べたとおりです。F5 XC Web App Scanningは、このようなツールの機能も持っており、自社で公開されているWeb/APIサービスの把握とともに、関連するDangling recordsの洗い出しを行うことができます。F5 XC Web App Scanningは、PoC(Proof of Concept)で、無償でお試しいただけます。自社の環境をチェックしてみたいなどのご要望がありましたら、是非、当社までお問い合わせください。