Part3ではDNSに関連するサイバー攻撃やトラブルを防ぐ方法を解説する。
対策は大きく3つ
Part2で取り上げた事件を見ると、取るべき対策が明らかになる。
まず権威DNSサーバーに不要なレコードを残さないこと。2つめは誰からのアクセスでも受け入れてしまうオープンリゾルバーにしないこと。最後が適切な防御策を実施することである(図3-1)。以下、それぞれ詳しく見ていこう。
1つめの対策が不十分なために発生した典型的なトラブルが、Part2で紹介した大手企業のドメイン名を使った詐欺サイトの設置である。その攻撃手法であるサブドメインテイクオーバーは、削除し忘れた不要なCNAMEレコードを悪用する。これがなければ攻撃は起きない。
ほかにも権威DNSサーバーの不要なレコードが原因でトラブルになったケースがある。
2018年、ある通信事業者がクラウドサービスで運用していたWebサイトを別のドメインに移行した。このときクラウドサービスを解約したが、権威DNSサーバーのAレコードは残したままだった。その後クラウドサービス事業者がその通信事業者に割り当てていたIPアドレスを別の企業に割り当てたため、旧ドメイン名にアクセスすると別企業のサーバーにアクセスしてしまうようになった。
こういったトラブルの根本的な対策としてJPRSは、Webサイトの公開時に設定したAレコードやCNAMEレコードを公開終了時に確実に削除することを挙げている。
ただ権威DNSサーバーを一元的に管理していない組織は多い。組織のシステム部門が、定期的にレコードを確認するのが現実的だろう。
具体的にはどのレコードが必要か不要かを判断するために利用中のドメインを棚卸しする。そして権威DNSサーバーで不要になったレコードや設定を削除する。
併せてドメイン名を登録する際のルールを決めておく。一時的に利用するサイトのためにドメイン名を登録すると、手放した後にそのドメイン名が第三者に使われる可能性があるからだ。この行為は「ドロップキャッチ」と呼ばれ、フィッシング詐欺▼などに悪用される恐れがある。一時的に使用するサイトならサブドメインで対応すべきだ。
名前解決の受け付けを制限する
2つめの対策はDDoS攻撃に加担させないために、キャッシュDNSサーバーをオープンリゾルバーとして運用しないことだ(図3-1(2))。2013年以降、情報処理推進機構(IPA)や日本ネットワークインフォメーションセンター(JPNIC)、警察庁などが、キャッシュDNSサーバー設置者に向けて、問い合わせを受け付ける対象を制限するよう繰り返し呼びかけている。
主に家庭で利用されるBBルーターもオープンリゾルバーになっているケースがある。BBルーターはLAN側からの名前解決を中継するDNSフォワーディング機能を備える。ところが一部のBBルーターは、インターネット側からの問い合わせでも名前解決を中継してしまうことが確認されている。多くのベンダーがこれを脆弱性として認識し対策用の更新プログラムを公開している。BBルーターのソフトウエアをアップデートすれば、インターネット側からの名前解決を受け付けない。