概要
Twitter上でAzureに関する以下のツイートを拝見しました。
2021年4月9日から、AzureではCNAMEを先に消さないと、ディプロビジョニング(サーバーを削除)できなくなる。と。 https://t.co/MBJc3DCnEd
— Yasuhiro Morishita (@OrangeMorishita) 2021年4月8日
これは、サブドメインテイクオーバーという攻撃への対策となります。
サブドメインテイクオーバーとは
CNAMEレコードについて
CNAMEレコードは正規ホスト名に対する別名を定義するレコードです。
名前解決でCNAMEリソースレコードが見つかった場合は別名について名前解決を継続します。
特定のホスト名を別のドメイン名に転送する時などに利用するもので、主にCDN (Contents Delivery Network)等で使われています。
サブドメインテイクオーバーの仕組み
以下はJPRSのサイトの解説ですが、CNMAEレコードで登録したサーバの使用がなくなった後もDNS上にはCNAMEレコードが残っていた場合に、攻撃者が以前に使用していたサーバと同じ名前で攻撃サーバを立てることで攻撃者のサイトに誘導することができます。
JPRS用語辞典|Subdomain Takeover(サブドメインテイクオーバー)
サブドメインテイクオーバーの事例
Webを閲覧しているといきなり「親愛なChromeユーザ様」や「ラッキービジター」といったポップアップが表示されるサイトが表示されることがありますが、これにサブドメインテイクオーバーが使われているといった情報がありました。
MS Azure Cloud Services のデフォルトドメイン cloudapp[.]net にCNAMEが向いている大量のWebサイトが改ざんされているようです。
— tike (@tiketiketikeke) 2020年7月6日
Googleでの検索結果には何れも星評価が付いています。
(1/N) pic.twitter.com/5kDUZTGPg2
参考にさせていただいたサイト
貴重な情報をありがとうございます。