DNSの設定ミス：隠れたリスクと脅威を解説

ユーザーがオンラインでウェブサイトを閲覧する際、デバイスはドメイン名の背後にある正しいサーバーを見つけるためにドメインネームシステム（DNS）を利用します。DNSはインターネットの電話帳とも呼ばれます。

DNSは、ブラウザを目的地まで導くデジタルマップと考えることができます。このマップ（DNS）にエラーや誤った設定があると、速度、セキュリティ、信頼性に影響を及ぼす可能性があります。具体的には、次のような影響があります。

• ユーザーがウェブサイトにアクセスできなくなる
• メールが送信されなくなる
• システムがサイバー攻撃にさらされるリスクが高まる

このブログ記事では、最も一般的なDNSの誤った設定について説明します。これらがどのように発生し、ウェブサイト、アプリ、ネットワークシステムなどのオンライン資産にどのようなリスクと脅威をもたらすかについて学習します。

正しいDNS設定が重要な理由

機能的で安全なインターネット体験を実現するには、正しいDNS設定が必須です。

なぜ？

デバイスがネットワーク経由でウェブサイトに接続できるようにするのはDNSです。DNSはドメイン名をIPアドレスに変換し、デバイスがスムーズに通信できるようにします。

ドメインまたはデバイスに関連付けられたDNSレコードの設定ミスは、重大な障害を引き起こす可能性があります。しかし、正しく設定されていれば、DNSはデバイス間の信頼性の高い通信を可能にします。

DNSが正しく設定されている場合に期待できるメリットをいくつかご紹介します。以下のメリットがあります:

• 読み込み時間の短縮とレイテンシの低減。
• 効率的なコンテンツ配信。
• フィッシングやマルウェアからの保護。
• なりすまし攻撃の防止。
• ダウンタイムの低減（またはゼロ）。
• 正確なメールルーティングなど、その他多くのメリットがあります。

DNS の設定ミスとは？

DNS の設定ミスとは、DNS 設定にエラーがあることを意味します。これは、人為的なミスやその他の問題が原因である可能性があります。これらのエラーは、ネットワークを介したデバイスとウェブサイト間の通信を妨害する可能性があります。さらに、セキュリティ上の脅威にさらされるリスクも高まります。

DNS の設定ミスの一般的な原因は次のとおりです。

• 新しい DNS レコードを追加または古い DNS レコードを更新する際の入力ミス。
• 古い DNS レコードは、ユーザーを誤ったリソースに誘導する可能性があります。
• ルーターが古くなったり故障したりしている場合も、DNS 設定でエラーが発生します。
• インターネット接続の不具合も DNS エラーの原因となります。
• インターネット サービス プロバイダー (ISP) の DNS サーバーに問題がある場合も、DNS 解決が妨げられます。

DNS の種類誤設定

以下は、多くの人が遭遇する様々なタイプのDNS誤設定です。

1. AレコードまたはAAAAレコードの誤り

AレコードとAAAAレコードは、ドメインを正しいIPアドレスに関連付ける役割を果たします。Aレコードはドメイン名をIPv4アドレスに、AAAAレコードはドメイン名をIPv6アドレスに一致させます。

AレコードとAAAAレコードの誤設定は、通常、人為的なミスが原因で発生します。これは通常、IPアドレスを手動で入力する際にタイプミスが発生した場合に発生します。これは、ウェブサイトを別のサーバーに移行するときによく発生します。

ホスティングサービスプロバイダーによってサーバーのIPアドレスが変更されることがあります。 DNSレコードの古いIPアドレスを新しいIPアドレスに手動で置き換える必要があります。期限内に行わないと、DNSの設定ミスが発生する可能性があります。

リスク：

AレコードまたはAAAAレコードに誤りがあると、サイトにアクセスしようとしたユーザーは間違ったサーバーに誘導されるか、サーバーに誘導されません。その結果、ウェブサイト全体または一部にアクセスできなくなります。

場合によっては、さらに悪い状況になることもあります。誤ったIPアドレスが悪意のある人物のものであると、ユーザーはフィッシングサイトにリダイレクトされる可能性があります。

この設定ミスを解決する最も簡単な解決策は、サーバーのパブリックIPを確認することです。誤りや不足している情報を見つけた場合は、A/AAAAレコードを適宜更新してください。更新が完了したら、DNSの伝播を確認し、グローバル更新（伝播）が完了していることを確認してください。

2. MXレコードの欠落または設定ミス

MXレコードは、ドメインのDNS設定において、メール配信を処理するメールサーバーを定義します。MXレコードは、そのドメインに代わってメールトラフィックの送信とルーティングを行います。

MXレコードの設定ミスは、設定が不適切、値が間違っている、または存在しないメールサーバーを指定している場合に発生します。

リスク:

ドメインに送信されたメールは、拒否、バウンス、またはスパムとしてフラグ付けされる可能性があります。MXレコードが設定されていないと、メールサーバーはドメインに送信されたメッセージをどこに配信すればよいか分からない。

専用のMX Lookupツールを使用して、ドメインに正しいMXレコードが設定されていることを確認してください。MXレコードが欠落しているか間違っている場合は、ドメインのダッシュボードにログインしてMXレコードを更新してください。プロセスをスムーズかつ効率的に進めるために、メールプロバイダーが推奨する設定を使用してください。

3. CNAME エントリの誤りまたは重複

CNAME（正規名）は、ドメインまたはエイリアスを実際の（いわゆる「正規」）ドメイン名に関連付けるために使用される DNS レコードの一種です。ユーザーがエイリアスドメインにアクセスしようとすると、DNS サーバーは正しい IP アドレスを返す代わりに、正規名を検索するように指示します。

ルートドメインの DNS に CNAME レコードを追加しようとする際に、設定ミスが発生することがよくあります。一般的に、ルートドメインに CNAME レコードを追加することはできません。サブドメインを使用してのみ追加できます。

設定ミスのもう1つの原因は、同じ名前に対して複数のCNAMEレコードが存在する場合があることです。

リスク：

重複したCNAMEレコードや誤った場所に配置したCNAMEレコードは、DNS解決のループ、競合、または失敗を引き起こし、リソースにアクセスできなくなる可能性があります。

CNAMEはサブドメインにのみ使用し、同じ名前の他のレコードとCNAMEを混在させないでください。CNAMEレコードを設定したら、DNSルックアップを使用して手動で検証してください。

4.無効または古い NS レコード

NS（ネームサーバー）レコードは、ドメインの DNS 管理に委任されています。これらのレコードは、ドメインの他のすべての DNS レコードを保持する物理サーバーです。

NS レコードのエラーは、レコードが古い場合、古いプロバイダーを参照している場合、またはタイプミスが含まれている場合に発生します。これは通常、新しいホスティングプロバイダーに切り替えたときに発生します。

リスク：

NS レコードの設定が誤っていると、リージョン間で DNS 解決の一貫性が失われたり、解決に失敗したりする可能性があります。DNS リゾルバーは権威ネームサーバーを見つけられなくなり、ユーザーのドメイン関連クエリを解決できなくなります。リゾルバーが応答しない、または正しくない NS サーバーにヒットした場合、サービスが機能しなくなる可能性があります。

現在ご利用の DNS プロバイダーのネームサーバーを確認するには、NS ルックアップ を実行してください。設定に誤りがある場合は、ドメインレジストラで NS レコードを更新してください。更新後、DNS 伝播チェッカーを使用して変更をグローバルに検証してください。

5. TXT レコードの設定誤り (SPF、DKIM、DMARC)

DNS の TXT レコードは、メールサーバーの認証を容易にし、ドメインの所有権を確認するために設計されています。また、メールのなりすまし攻撃の防止にも役立ちます。

TXTレコードの設定ミスは、構文の誤り、サポートされていないメカニズム、エントリの欠落など、さまざまな要因によって発生する可能性があります。

リスク：

TXTレコードの設定ミスは、次のようなさまざまな問題を引き起こします。

• 元のメールが迷惑メールフォルダに振り分けられたり、拒否されたりすることがよくあります。
• メールのなりすましやフィッシング攻撃のリスクが高まります。

例：

SPFレコードなどのTXTレコードが設定されていない場合、ハッカーはドメインからのなりすましメールを送信する。

まず、TXT ルックアップを実行して、以前に伝播されたレコードが正確かどうかを確認します。設定に誤りがある場合は、ドメインダッシュボードにアクセスして、正しい形式で更新してください。更新の際は、適切な構文を使用し、有効な公開鍵で DKIM を設定してください。

6.無制限のゾーン転送（AXFR 有効）

AXFR は、フルゾーン転送とも呼ばれ、あるサーバー（プライマリサーバー）から別のサーバー（セカンダリサーバー）にゾーンファイルを転送するために使用される DNS プロトコルです。

リスク：

AXFR を有効のままにしておくと、DNS 構造全体が公開される可能性があります。これは重大なセキュリティリスクとなり、ハッカーが DNS ゾーン全体にアクセスしてサイバー攻撃を実行する可能性があります。

ゾーン転送は専用の IP アドレスに制限するか、その時点で必要がない場合は無効にしてください。

7.オープンDNSリゾルバー

オープンDNSリゾルバーとは、あらゆるIPアドレスからの再帰クエリに応答するように設定されたDNSサーバーです。これらのDNSサーバーは公開されており、ルックアップを実行するために認証や承認を必要としません。

リスク:

ハッカーはオープンDNSリゾルバーを利用して、DDoS（分散型サービス拒否）攻撃。クエリ履歴が漏洩し、正当な応答が遅くなる可能性もあります。さらに、ウェブサイトがダウンしたり、ネットワークが広範囲に停止したりする可能性もあります。

再帰を信頼できるネットワークに限定し、ファイアウォールを設定して外部トラフィックをブロックまたは監視します。

8. TTL（Time to Live）設定の誤り

DNSにおけるTTL（Time to Live）とは、ドメインまたはデバイスのDNSレコードが更新されるまでのキャッシュ期間を指します。

リスク：

TTLの設定値が高すぎる、または低すぎると、パフォーマンスや伝播に問題が発生する可能性があります。

• TTLが高い = 伝播が遅くなります。
• TTLが低い = DNSクエリの負荷が増加します。

例：

TTLが86400（24時間）のときにIPアドレスを変更すると、ユーザーは丸1日、古いIPアドレスに解決されてしまう可能性があります。

バランスの取れたTTLを使用してください。通常は3600秒が推奨されます。

9. PTRレコードの欠落（逆DNSの問題）

PTR（ポインタレコード）は「A」レコードの逆で、ドメイン名に関連付けられているIPアドレスを示します。PTRレコードは主に、特定のIPアドレスに関連付けられているドメイン名を特定する逆DNSルックアップで使用されます。

リスク：

PTRレコードは、メール配信の問題のトラブルシューティングやスパム対策のために、逆DNSルックアップで使用されます。PTRレコードの設定が誤っているか欠落している場合、ドメイン名に関連付けられているメールサービスが停止します。その結果、そのドメイン名から送信されるすべてのメールがブロックされます。さらに、外部のシステムやデバイスからネットワークが疑わしいと判断される可能性があります。

逆引きDNS関連の問題を解決するには、ISPまたはホスティングプロバイダーに逆引きDNS設定の再設定を依頼してください。

10. DNSSECの欠如またはDNSSECの設定ミス

DNSSEC（Domain Name System Security Extension）は、DNSシステムを改ざんから保護するために使用されます。DNSSECは、DNSレコードにデジタル署名することでDNSデータの信頼性を確保します。

リスク：

DNSSECレコードの設定ミスは、なりすまし攻撃の温床となります。ハッカーはこれを利用してキャッシュポイズニングを実行したり、トラフィックを悪意のあるウェブサイトにリダイレクトしたりする可能性があります。さらに、DNSSEC設定に不具合があると、DNSSEC対応リゾルバーでサイトにアクセスできなくなる可能性があります。

これを回避するには、DNSSECの有効期限を常に監視し、ゾーンを速やかに再署名してください。

DNS設定ミスによる災害の実例

DNSレコードの設定ミスに関連する脅威をより深く理解していただくために、以下に実例をいくつかご紹介します。

Facebookの障害（2021年10月）

The Guardianによると、DNSとBGPの設定ミスにより、Facebookは6時間近くにわたって完全にアクセス不能になりました。エラーです。

Facebook のエンジニアが発行したコマンドにより、DNS サーバーを含むすべてのバックボーン接続が誤って停止しました。 DNSサーバーにアクセスできなくなったため、すべてのサービスのドメイン名解決が世界中で失敗しました。

影響:

• 数十億人のユーザーがアクセス不能に
• 従業員バッジやツールを含むFacebookの社内システムが停止
• 推定損失額: 60億ドルの収益損失

このインシデントは、ネットワーク構成変更に関する徹底的な社内テストが実施され、外部のフォールバックDNSサーバーまたは監視ツールが使用されていたならば防ぐことができたはずです。

MicrosoftのDNS構成ミス (2001)

2001年1月、Microsoftのウェブサイトは約23日間、完全にアクセス不能になりました。 DNS 構成エラーが原因で、数時間にわたって DNS が機能しなくなりました。

Microsoft は、主要ドメイン (microsoft.com など) のすべての権威 DNS サーバーを、同じ IP サブネットとネットワーク インフラストラクチャ内にホストしていました。 

ルーターの構成ミスによってサブネットにアクセスできなくなったため、Microsoft のドメイン名を解決できなくなりました。この障害により、事実上、ほぼすべてのサービスがオフラインになりました。

影響:

• Microsoftの全サービスが世界中で23時間ダウン
• Hotmailユーザーと法人顧客への重大な混乱
• ブランドの信頼性と社会的な信頼の失墜

DNSサーバーが論理的にネットワークを分離するように正しく構成されていれば、このような事態は防ぐことができました。

業界への教訓:

「DNSの卵を一つのカゴに盛ってはいけない」

まとめ

ネットワーク上のデバイスとウェブサイト間のスムーズな通信には、DNSの正しい設定が不可欠です。DNSの設定ミスは、さまざまな問題を引き起こす可能性があります。ウェブサイトへのアクセス不能、メールの配信失敗、サイバー攻撃の増加など、様々な問題が存在します。

このブログ記事では、最も一般的なDNSの設定ミスと、それらがもたらすリスク、そしてそれらを防ぐ方法について説明します。DNS関連のトピックについて詳しくは、ブログセクションをご覧ください。