〜忘れ去られたDNSレコードが、攻撃者のお気に入り入口になる理由〜
セキュリティの世界で最も危険なのは、
「一生懸命守っているもの」ではありません。
**「存在することを忘れたもの」**です。
サブドメインは、まさにその代表例です。
api.company.com は監視されている。
login.company.com は堅牢。
でも
test-api-2019.company.com は?
誰にも見られず、静かにインシデントを待っています。
本記事では、サブドメインセキュリティの本質、なぜ問題が繰り返されるのか、実際の攻撃パターン、そして現実的な防御策を解説します。
サブドメインセキュリティとは何か?
サブドメインとは、メインドメイン配下のDNS名です。
example.com
├── www.example.com
├── api.example.com
├── dev.example.com
├── old-admin.example.com
セキュリティの視点では、すべてのサブドメインは:
• 潜在的な侵入口
• 信頼境界
• ブランド資産
攻撃者は「一時的」や「旧環境」という言葉を気にしません。
解決できるなら、攻撃対象です。
なぜサブドメインは危険なのか?
理由は単純です。
• 簡単に作れる
• 削除されない
• 管理者が不明
• 所有者が消える
現実の企業環境では:
• チームは変わる
• プロジェクトは終わる
• ベンダーは入れ替わる
• DNSだけが永遠に残る
セキュリティチームは DNSの墓場を引き継ぐことになります。
よくあるサブドメインセキュリティリスク
① サブドメインテイクオーバー
最も有名で、最も致命的。
発生条件:
• DNSがクラウドリソースを指している
• リソースが削除される
• DNSが残る
• 攻撃者がそのリソースを再作成
影響を受ける例:
• AWS S3
• Azure App Service
• GitHub Pages
• Heroku
• Firebase
結果:
攻撃者があなたのドメインでコンテンツを公開できる
フィッシングの理想郷です。
② 開発・検証環境の露出
以下のようなサブドメイン:
• dev.
• test.
• staging.
• qa.
ありがちな問題:
• 弱い認証
• デフォルト認証情報
• デバッグAPI
• 無効化されたセキュリティ設定
理由:
「本番じゃないから」
攻撃者はこの言葉が大好きです。
③ ダングリングDNS(宙ぶらりんDNS)
以下を指すDNSレコード:
• 使われていないIP
• 削除済みサーバ
• 期限切れSaaS
• 死んだLB
結果:
• スキャンに引っかかる
• 監視が壊れる
• テイクオーバー可能になる
④ ドメイン信頼の継承
以下の設定が原因:
• Cookieの Domain=.example.com
• CORSのワイルドカード
• OAuthのリダイレクト許可
1つのサブドメイン侵害で、全体が危険にさらされます。
⑤ シャドーITサブドメイン
作られる場所:
• マーケティングツール
• SaaS
• CI/CD
• デモ環境
管理者:
• 不明
• 2018年に退職した人
発覚するのは、だいたい外部からです。
実際に起きる攻撃シナリオ
- テスト環境を停止
- Azure App Service削除
- DNSはそのまま
- 攻撃者がダングリングDNSを発見
- サービスを再作成
- 以下のURLでフィッシング開始
- login-preview.company.com
ユーザーも、ブラウザも、メールも信じてしまいます。
サブドメインの発見方法
パッシブ
• DNSゾーン管理
• クラウドDNS
• 証明書透明性ログ
• 資産管理台帳
アクティブ
• amass
• subfinder
• assetfinder
• dnsrecon
解決するなら、存在する。
サブドメインテイクオーバーの検出
確認ポイント:
• NXDOMAIN
• クラウドのエラーページ
• プラットフォーム特有の404
• 未使用SaaS
ツール:
• subjack
• nuclei
• tko-subs
サブドメインを守るベストプラクティス
① DNS衛生管理
• 不要レコード削除
• オーナー明示
• 定期レビュー
• IaC化
② リソースライフサイクル管理
• リソース削除時にDNSも削除
• 自動クリーンアップ
• 孤立資産の監視
③ TLSの徹底
• HTTPS強制
• ワイルドカード証明書の慎重運用
• CTログ監視
④ 認証・アクセス制御
• 「内部だから」はNG
• 非本番も保護
• 可能ならMFA
⑤ Cookie & CORS
• Domain=.example.com を避ける
• CORS制限
• OAuth URIの厳格化
⑥ 監視・アラート
• DNS変更通知
• 新規サブドメイン検出
• 証明書発行アラート
セキュリティチームの現実
セキュリティ:
「このサブドメイン消してください」
開発:
「誰のものかわからない」
マーケ:
「いつか使うかも」
DNS:
(沈黙)
攻撃者:
(準備完了)
サブドメインセキュリティは“運用”の問題
最強の対策はツールではありません。
• 所有者
• 可視性
• ライフサイクル
• ガバナンス
ツールは補助輪です。
まとめ
サブドメインは無害ではありません。
それは:
• 攻撃対象
• ブランドの一部
• 信頼モデルの一部
管理しなければ、
必ず誰かが管理します。
洗い出し、所有し、不要なら消す。
攻撃者は「放置されたもの」が大好物です。