---------------------------------------------------------------------
■サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2025/01/21（Tue）
---------------------------------------------------------------------
▼概要

  レンタルサーバーやCDN（Content Delivery Network）など、事業者のサー
  ビスを利用して自身のドメイン名のサブドメイン（例：sub.example.co.jp）
  でWebサイトを公開する場合、事業者のサーバーを参照するDNS設定を自身の
  ドメイン名の権威DNSサーバーに追加することで、Webサイトを提供できる状
  態になります。

  しかし、Webサイトの公開を終了する際に公開時に追加したDNS設定を削除・
  変更せず、事業者のサーバーを参照したままになっている場合、残っている
  DNS設定がサブドメインの乗っ取りに利用され、意図しないWebサイトの設定、
  フィッシング、個人情報の窃取など、さまざまなサイバー攻撃に利用される
  可能性があります。

  こうした状況の発生を防ぐため、Webサイトを公開する際に追加したDNS設定
  はWebサイトの公開を終了する際に、削除・変更する必要があります。

▼詳細
  
  事業者のサービスを利用し、example.co.jpというドメイン名の管理者が
  campaign.example.co.jpというドメイン名でキャンペーン用のWebサイトを
  設定する際に、example.co.jpの権威DNSサーバーに追加するDNS設定の例を、
  以下に示します。

  ・設定例1：CDN事業者のWebサーバーを参照するCNAMEレコードを設定

     $ORIGIN example.co.jp.
     campaign IN CNAME cdn.example.net.

  ・設定例2：クラウド事業者の権威DNSサーバーを参照するNSレコードを設定

     $ORIGIN example.co.jp.
     campaign IN NS ns-11.example.com.
              IN NS ns-33.example.org.
              IN NS ns-55.example.net.

  事業者のサービスを解約して当該Webサイトの公開を終了する場合、公開時
  に設定した、事業者のサーバーを参照するDNS設定を削除・変更する必要が
  あります。設定が残ったままになっている場合、それらの設定はサービスの
  解約後、参照先のWebサーバーや権威DNSサーバーが無効になっている「ダン
  グリングレコード」と呼ばれる、悪用され得る状態になります。

    JPRS用語辞典｜dangling records（ダングリングレコード）
    <https://jprs.jp/glossary/index.php?ID=0274>

  ダングリングレコードはDNS検索により、外部から検出可能です。そのため、
  第三者がダングリングレコードを探索し、参照先の事業者にWebサーバーや
  権威DNSサーバーを再設定することで、サブドメインテイクオーバーやNSテ
  イクオーバーといった、サブドメインを乗っ取るサイバー攻撃に利用される
  可能性があります。

▽攻撃の仕組み

  サブドメインテイクオーバー・NSテイクオーバーの攻撃の仕組みについては、
  JPRS用語辞典の以下の項目をご参照ください。

    JPRS用語辞典｜Subdomain Takeover（サブドメインテイクオーバー）
    <https://jprs.jp/glossary/index.php?ID=0267>

    JPRS用語辞典｜NS Takeover（エヌエステイクオーバー）
    <https://jprs.jp/glossary/index.php?ID=0272>

▽攻撃の影響

  第三者がサブドメインテイクオーバー・NSテイクオーバーに成功した場合、
  そのドメイン名を使った意図しないWebサイトの公開・フィッシング・個人
  情報の窃取・マルウェアの注入・クッキーの改変・なりすましメールの送信
  など、さまざまなサイバー攻撃に利用される可能性があります。

▼対策

▽ドメイン名の管理者における対策

  サブドメインの乗っ取りを防ぐため、Webサイトを公開する際に自身の権威
  DNSサーバーに追加した、事業者のサーバーを参照するDNS設定は、Webサイ
  トの公開を終了する際に、削除・変更する必要があります。

  一部の事業者・研究者・専門家などから、ドメイン名の乗っ取りの被害を減
  らすための運用手法をまとめた文書や、攻撃可能なDNS設定が残っていない
  ことを確認するツールなどが公開されています。こうした運用手法やツール
  を活用し、自身のドメイン名のDNS設定の削除・変更漏れや攻撃可能なDNS設
  定を検知・修正することも、有効な対策となります。

▽事業者における対策

  事業者において実施可能なリスク低減策として、サービスの提供開始時にお
  ける利用者のドメイン名の管理権限の確認、サービスの提供終了時における
  利用者のDNS設定の削除・変更の確認が挙げられます。

▼参考リンク

  終わったWebサイトのDNS設定、そのままになっていませんか？
  <https://jprs.jp/tech/security/2025-01-21-danglingrecords.pdf>
  （本件に関するパンフレット）

  サブドメインテイクオーバーの概要とその防止策
  <https://www.antiphishing.jp/pdf/apc_1st_studygroup_jprs.pdf>
  （第1回フィッシング対策勉強会（フィッシング対策協議会）の発表資料）

  マネージドサービス時代のDNSの運用管理について考える
  ～ DNSテイクオーバーを題材に ～
  <https://www.nic.ad.jp/sc-2021/program/sc-2021-day2-0.pdf>
  （Internet Week ショーケース 2021の発表資料）

▼連絡先

  本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ
  さい。

---------------------------------------------------------------------
▼更新履歴
  2025/01/21 11:00 初版作成