【要約】Why are top university websites serving porn? It comes down to shoddy housekeeping. [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
- ・CNAMEレコードの管理不備。サービス停止後もレコードが残存。
- ・大学組織の高度な分散化。部署や研究室が独立してドメインを運用。
- ・退職者やプロジェクト終了時の削除プロセスが欠如。
- ・被害例:berkeley.edu, columbia.edu, washu.edu 等のサブドメインが、アダルトサイトや詐欺サイトへリダイレクトされた。
// Approach
1.サブドメインの包括的なインベントリ(台帳)を作成する。
2.各サブドメインの用途とCNAME接続先を記録する。
3.定期的な監査を実施し「Dangling Record」を特定する。
4.不要になったサブドメインおよびCNAMEレコードを即時削除する。
// Result
- ・少なくとも34の大学が被害に遭った。
- ・数百のサブドメインが乗っ取られた。
- ・Google検索結果に数千の不正ページが出現した。
- ・レコード削除後も、検索エンジンのインデックス削除には時間を要する。
Senior Engineer Insight
>
これは典型的な「ライフサイクル管理」の失敗である。大規模環境では、手動管理は不可能。クラウド利用に伴い、DNSの複雑性は増大する。インフラの自動化(IaC)とDNS監査の統合が不可欠。リソースの「作成」だけでなく「削除」の自動化を徹底すべきである。