Cloudflare RegistrarのCustom Domain Protection

最高レベルのレジストラーセキュリティ

お客様のレジストラーアカウントに加えられた変更について帯域外検証のみを行う機能を備えた、Enterprise プランでご利用可能なCloudflare RegistrarのCustom Domain Protectionは、ドメインハイジャックから貴社を保護します。CloudflareはICANN認定レジストラーで、主要ドメインに安全なドメイン登録を提供しています。

WHOIS Data Access Request

registrar diagram domain hijack

ドメインハイジャックとは?

ドメインハイジャック(ドメインの乗っ取り)は、本質的にインターネット上で個人情報を盗まれることを意味します。つまり、訪問者が貴社のWebサイトにアクセスしたときに表示される、ドメイン名に依存するコンテンツ、eメール、VoIP、そのほかのサービスをコントロールできなくなります。これは、企業のブランドや評判に深刻な影響を及ぼす脅威です。この場合、ドメインを失ったレジストラー(および、攻撃者がドメインの管理を新しいレジストラーに移管した場合は、ドメインを現在管理しているレジストラー)に要請して、適切な措置を講じてくれることを期待するしかありません。適切な措置が講じられなかった場合、残された唯一の選択肢は、ICANNに苦情を申し立てることになりますが、手続きに数週間から数か月かかることがあります。Cloudflareは、ドメインとレジストラーのセキュリティ状態をチェックするのに役に立つ無料ツールを開発しました。ぜひ、Cloudflareセキュリティチェッカーを用いて貴社のドメインを採点してみてください。

-レジストリーは世界のドメインのリストを管理しています。 -レジストラーは登録者にドメインを販売し、ドメイン情報をレジストリーにアップロードします。 -登録者は自らのレジストラーアカウントを通じて、ドメインを購入して管理します。

ドメインハイジャックはレジストラーレベルで発生するもので、攻撃者はレジストラーアカウントに不正アクセスし、ドメインに関連付けられているネームサーバーやほかの登録情報を変更します。レジストラーは、その変更が正規の登録者によるものだと信じて、新しい情報をレジストリーに送信します。

レジストリーは、すべてのドメインに関連付けられたネームサーバーの権威あるソースとして機能するため、レジストラーからの変更を受領した後、そのドメインに対するすべてのトラフィックを新しいネームサーバーに再ルーティングします。次に、この新しいネームサーバーは攻撃者が選択したIPアドレスに訪問者を送ります。

レジストリーの変更には認証と強力な検証が必要

所有権と権威ネームサーバー情報の更新は頻繁に行われるものではありませんが、こうした更新が正しく行われないと、危険かつ長期的な影響をもたらす可能性があります。したがって、グローバルなドメインレジストリーにおける情報の更新は、安全かつ入念に行う必要があります。

Cloudflare Registrarは、こうしたことを念頭に置いて設計されています。ドメインの所有権またはネームサーバー情報の変更はすべて、手動で検証し、実行します。

Custom Domain Protectionを使用したドメインの保護

Cloudflare RegistrarのCustom Domain Protectionは、すべての移管リクエストに対して厳格な変更管理プロトコルに従います。目標は、お客様のネームサーバーまたは登録データの変更が、組織全体で承認されるようにすることです。Cloudflareでは、次のようなセキュリティ機能を提供しています。

-すべての変更リクエストを複数のユーザーがオフラインで確認 -レジストラーロックを常に使用

  • レジストリーロックを常に使用
  • すべての登録者アカウントに対して二要素認証を適用
  • カスタマイズ可能な承認プロセス
  • 妥当性確認

複数の独立したオフライン検証ソースを要求することで、攻撃者がオンラインレジストラーアカウントに不正アクセスしようとするのを阻止します。

一般市場のレジストラーの多くがレジストラーロックをサポートしています。このレジストラーロックは、明示的にロック解除しない限り、レジストリーが情報を変更できないようにします。しかし、攻撃者がレジストラーアカウントに不正アクセスした場合、ロック解除して自由に変更を行うことができてしまいます。

レジストリーロックは、レジストラーロックよりもはるかに高いセキュリティを提供します。ロック解除しない限り、どのレジストラー(ユーザーのレジストラーを含む)も変更を加えることができません。レジストリーレベルでのロック解除は、レジストリーオペレーターとの帯域外通信を要する手動操作となります。

運用上の変更は不要

レジストリーの変更とドメイン運用上のDNS情報の変更を混同しないでください。ネームサーバーと登録情報の変更には慎重な検証が必要となる一方で、ネームサーバーレコードの変更は、ほぼ瞬時に行わなければなりません。

Cloudflare Registrarは、お客様が運用するDNSインフラストラクチャの変更をまったく必要としません。追加設定なしで、必要なA、AAAA、MX、そのほかのレコードの更新ができます。Cloudflare Registrarに移行する際、お客様のレジストリー情報がまったく同じネームサーバーを指定するようにできます。—唯一の違いは、こうした値を攻撃者が変更するのが非常に困難になるということだけです。

Universal DNSSECによる階層型防御

Cloudflare RegistrarのCustom Domain Protectionは、レジストリーーでドメインがハイジャックされるのを保護しますが、DNSの中間者攻撃には依然として脆弱性があります。Universal DNSSECは、暗号署名を使用して、お客様のドメインに対するすべてのDNSクエリを認証することにより、追加のセキュリティ層を設けます。Cloudflareがドメインのレジストラーであり、かつDNSプロバイダーでもある場合、DNSSECをシームレスに提供できます。

Cloudflare Registrarへの切り替え

貴社にて高価値とされる商標ドメインを管理している場合、組織固有のセキュリティニーズを満たすように設計されているCloudflare RegistrarのCustom Domain Protectionのご利用をお勧めします。詳細については、当社のセールスチームまでお問い合わせください。