【要約】【緊急】ワイルドカード証明書の誤用がサブドメイン乗っ取りを引き起こす仕組みと対策 [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
- ・サービス解約時にCNAMEレコードが残存する。これをdangling DNSと呼ぶ。
- ・攻撃者が当該CNAME先のドメインを再取得する。
- ・ワイルドカード証明書が存在する場合、攻撃者は有効なHTTPS通信を偽装できる。
- ・ブラウザ上で「安全な接続」と表示され、フィッシング被害が深刻化する。
// Approach
1.検知手法
- ・
subjackによるサブドメインの一括チェック。 - ・
nucleiのテンプレートを用いた検知。 - ・Pythonと
dnspythonによるCNAME抽出スクリプトの実行。
2.防止策
- ・IaC(Terraform等)による、リソースとDNSレコードの同期管理。
- ・AWS CLI等を用いた、定期的なゾーンファイルの棚卸し。
- ・CAAレコード(
issuewild)による、ワイルドカード証明書の発行権限制限。
// Result
- ・IaC導入により、リソース削除とDNS更新の同期を実現。
- ・定期的なスキャンにより、ゾンビCNAMEの早期発見が可能。
- ・CAAレコードの設定により、攻撃者による証明書取得を技術的に阻止。
Senior Engineer Insight
> 本件は技術的欠陥ではなく、運用の不備に起因する。大規模環境では手動管理は不可能だ。IaCによる「リソースとDNSのライフサイクル同期」が必須となる。また、CAAレコードによる防御は、防御層を厚くする低コストな手段だ。検知ツールをCI/CDや定期ジョブに組み込み、継続的な監視体制を構築すべきである。インフラのライフサイクル管理を徹底せよ。