DNS Information Disclosure
DNS情報漏洩
説明
DNS情報漏洩の脆弱性は、組織のインフラストラクチャに関する情報を収集するために使用できる機密情報がDNSレコードによって公開されている場合に発生します。攻撃者は、標的型攻撃を仕掛けるために、プライベートIPアドレス、APIキー、内部ホスト名、その他の機密コンテンツなど、公開されたDNSデータを悪用する可能性があります。
仕組み:
攻撃者は、A、AAAA、SRV、またはTXTレコードなどのDNSレコードを分析して、機密情報を特定します。一般的な情報漏洩には以下のものが含まれます。
- プライベートIPアドレス: DNSレコードを介して公開された内部IPアドレスは、内部ネットワークの構造を明らかにする可能性があります。
- APIキーとパスワード: APIキーやパスワードなどの機密情報が、意図せずにTXTレコードに公開されることがあります。
- 内部ホスト名: 内部ホスト名またはドメインを公開すると、攻撃者が内部ネットワーク攻撃やフィッシング攻撃を計画するのに役立つ可能性があります。
DNS情報漏洩に対処しない場合のリスク: - 攻撃対象領域の拡大: 公開されたDNS情報により、攻撃者はターゲットをより明確に把握できるようになり、攻撃の計画が容易になります。 - データの機密性リスク: 機密情報が公開された場合、不正アクセスやデータ漏洩につながる可能性があります。 - ソーシャルエンジニアリングとフィッシング: 攻撃者は公開された情報を利用して、説得力のあるフィッシングキャンペーンを作成したり、内部システムを悪用したりする可能性があります。
推奨事項
DNS情報漏洩の脆弱性を軽減するために、以下の推奨事項を実装してください。
- DNSエントリの確認とクリーンアップ: DNSエントリを定期的に監査し、機密データ(内部IPアドレスやホスト名など)が公開されていないことを確認します。
- DNSセキュリティ拡張(DNSSEC)の使用: DNSクエリにセキュリティレイヤーを追加し、DNSレコードの改ざんを防ぐためにDNSSECを実装します。
- DNS TXTレコードのデータを最小限に抑える: 機密情報(APIキー、パスワードなど)をDNS TXTレコードに配置しないようにし、意図しない公開がないか既存のレコードを確認します。
リンク
基準
- SOC2_CONTROLS:
- CC_3_4
- CC_4_1
- CC_6_1
- CC_6_6
- CC_6_7
- CC_6_8
- CC_7_1
- CC_7_2
- CC_7_3
- CC_7_5
- OWASP_MASVS_L1:
- MSTG_STORAGE_1
- MSTG_STORAGE_2
- OWASP_MASVS_L2:
- MSTG_STORAGE_1
- MSTG_STORAGE_2
- OWASP_MASVS_v2_1:
- MASVS_STORAGE_1
- MASVS_STORAGE_1
- GDPR:
- ART_1
- ART_5
- ART_25
- ART_32
- PCI_STANDARDS:
- REQ_2_1
- REQ_2_2
- REQ_3_1
- REQ_3_2
- REQ_3_3
- REQ_5_1
- REQ_6_1
- REQ_6_2
- REQ_6_3
- REQ_6_4
- REQ_6_5
- REQ_7_1
- REQ_7_2
- REQ_8_3
- REQ_8_6
- REQ_11_3
- REQ_11_4
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213