Route 53 でのダングリング委任レコードからの保護 - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Route 53 でのダングリング委任レコードからの保護

Route 53 では、NS レコードを作成して、トラフィックをサブドメインにルーティングできます。これらの NS レコードが Route 53 ネームサーバーを指している場合、それらのネームサーバーは、サブドメインに対して権限を持つホストゾーンの委任セット内のネームサーバーと一致することが期待されます。これらの NS レコードが正しいネームサーバーを指していない場合、攻撃者がサブドメインを悪用して制御してしまうリスクがあります。これらの NS レコードは、ダングリング NS レコードと呼ばれます。

例えば、サブドメインの Route 53 ホストゾーンが削除されると、その NS レコードは親ドメインでダングリング状態のままになる可能性があります。この状態になると、攻撃者は削除されたゾーンのネームサーバーに新しいホストゾーンを作成して、サブドメインを乗っ取ることができます。Route 53 はこれを防止するために、ユーザーがダングリング NS レコードを削除する前に、サブドメインの委任セットのペアを追跡し、それらのネームサーバー上にサブドメインの新しいゾーンが作成されないように試みます。

ただし、NS レコードの設定ミスが原因で、ダングリング NS レコードが発生する可能性はあります。このリスクを軽減するには、次のアクションを実行することをお勧めします。

  • サブドメインの権限のある Route 53 ホストゾーンの apex の NS レコードが、ホストゾーンの委任セットと一致することを確認してください。ホストゾーンの委任セットは、Route 53 コンソールまたは AWS CLI を使用て確認できます。詳細については、「レコードの一覧表示」または「get-hosted-zone」を参照してください。

  • Route 53 ホストゾーンの DNSSEC 署名を有効にします。DNSSEC は DNS の回答が信頼できる送信元からのものであることを認証し、リスクを効果的に防止します。詳細については、「Amazon Route 53 での DNSSEC 署名の設定」を参照してください。

  • サブドメインをホストしていないネームサーバーを、親ホストゾーンのサブドメイン NS レコードから削除します。

    ~ または ~

  • ネームサーバーを、サブドメインの権限のある Route 53 ホストゾーンの委任セットにある 4 個のネームサーバーに置き換えます。これにより、リスクも効果的に軽減されます。

以下の例では、親ドメイン parent-domain.com とサブドメイン sub-domain.parent-domain.com があると仮定した場合の、ダングリング NS レコードになる 3 つのシナリオと、リスクを軽減する方法を示します。

シナリオ 1:

親ホスト ゾーン parent-domain.com で、4 個のネーム サーバー <ns1>、<ns2>、<ns3>、および <ns4> を使用して sub-domain.parent-domain.com の NS レコードを作成します。また、権限のあるサブドメインのネームサーバーは <ns5>、<ns6>、<ns7>、および <ns8> です。したがって、<ns1>、<ns2>、<ns3>、および <ns4> はすべてダングリング NS レコードで、攻撃者に sub-domain.parent-domain.com の制御を乗っ取られるリスクにさらされます。リスクを軽減するには、サブドメイン NS レコードを <ns5>、<ns6>、<ns7>、および <ns8> に置き換えます。

シナリオ 2:

parent-domain.com には sub-domain.parent-domain.com があり、NS レコードは <ns1>、<ns2>、<ns3>、<ns4>、<ns5>、<ns6>、<ns7>、および <ns8> を指します。権限のあるサブドメインのホストゾーンのネームサーバーは、<ns5>、<ns6>、<ns7>、および <ns8> です。そのため、<ns1>、<ns2>、<ns3>、および <ns4> は再びダングリング NS レコードになります。リスクを軽減するには、NS レコードから <ns1>、<ns2>、<ns3>、および <ns4> を削除します。

シナリオ 3:

再利用可能な委任セット <ns1>、<ns2>、<ns3>、および <ns4> があります。親ゾーンに NS レコードを作成し、再利用可能な委任セット内のこれらのネームサーバーにサブドメインを委任します。ただし、再利用可能な委任セットにはサブドメインゾーンを作成していません。そのため、<ns1>、<ns2>、<ns3>、および <ns4> は、ダングリング NS レコードです。リスクを軽減するには、再利用可能な委任セットを含むサブドメインホストゾーンを作成します。