期間限定のWebサイトでDNS設定をそのままにしていないか?──.jpドメインのレジストリである日本レジストリサービス(JPRS)は1月21日、サブドメインの管理方法に関する注意喚起を発表した。期間限定のキャンペーンサイトなどの公開後、DNS設定を残したままだと、第三者に悪用されサブドメインを乗っ取られる可能性があるという。
レンタルサーバやCDNなどの事業者のサービスを利用して、自身のドメイン名のサブドメインで新たにWebサイトを公開できる。その際、事業者のサーバを参照するDNS設定を自身のドメイン名の権威DNSサーバに追加することで、Webサイトを提供できる状態になる。
しかしWebサイトの公開終了後も、追加したDNS設定を削除・変更しないでいると、DNS設定が悪用され、サブドメインが乗っ取られる場合があるという。このようなDNS設定が残っている状態は「ダングリングレコード」と呼ばれ、サイバーセキュリティ上のリスクになるという。もし乗っ取られると、意図しないWebサイトの設定やフィッシング詐欺、個人情報の窃取などサイバー攻撃に利用される可能性がある。
このような事態を防ぐため、JPRSは「公開が終わったWebサイトのDNS設定は必ず削除・変更をしてほしい」と説明。ツールなどで、自身のドメイン名の削除・変更漏れを検知・修正することも有効な対策だと続けている。また、ホスティング事業者に対しても、トラブル発生リスクの軽減のためにも、DNS設定の削除・変更の確認を実施してほしいと訴えている。