Cloudflare RegistrarのCustom Domain Protection
最高レベルのレジストラーセキュリティ
お客様のレジストラーアカウントに加えられた変更について帯域外検証のみを行う機能を備えた、Enterprise プランでご利用可能なCloudflare RegistrarのCustom Domain Protectionは、ドメインハイジャックから貴社を保護します。CloudflareはICANN認定レジストラーで、主要ドメインに安全なドメイン登録を提供しています。
ドメインハイジャックとは?
ドメインがハイジャックされるということは、基本的にインターネット上で個人情報が盗まれることを意味します。ハイジャックされると、ドメイン名に依存するWebサイト、電子メール、VoIP、その他のサービスに訪問者がアクセスしたときに表示されるコンテンツを制御できなくなります。これは組織のブランドや評判にとって深刻な脅威です。この場合、ドメインが失われたことをレジストラー(また、攻撃者がドメインの管理を新しいレジストラーに移した場合、今ドメインを管理しているレジストラー)に訴え、適切な処置をしてくれることを期待するしかありません。これで解決しない場合、残された唯一の道はICANNに訴状を提出することですが、処理されるのに数週間から数か月かかる恐れがあります。
Cloudflareは、ドメインとRegistrarのセキュリティ状態をチェックするのに役に立つ無料ツールを開発しました。ぜひお試しになって、Cloudflareのセキュリティチェックでドメインを採点してみてください。
レジストリーは世界のドメインのリストを管理しています。
レジストラーは登録者にドメインを販売し、ドメイン情報をレジストリーにアップロードします。
登録者は自らのレジストラーアカウントを通じてドメインを購入し、管理します。
ドメインハイジャックはレジストラーレベルで発生するもので、攻撃者はレジストラーアカウントを侵害し、ドメインに関連付けられているネームサーバーまたは他の登録情報を変更します。レジストラーは、その変更が正規の登録者によるものではないことを知らずに、新しい情報をレジストリーに送信します。
レジストリーは、すべてのドメインに関連付けられたネームサーバーの権威あるソースとして機能するため、レジストラーからの変更を受領した後、そのドメインに対するすべてのトラフィックのルートを新しいネームサーバーへと変更します。次に、この新しいネームサーバーは攻撃者が選択したIPアドレスを訪問者に送信します。
レジストリーの変更には認証と強力な検証が必要
所有権と権威ネームサーバー情報の更新は頻繁に行われるものではありませんが、これらの更新が正しく行われないと、危険で長期的な影響が生じます。したがって、グローバルドメインレジストリーにおける情報の変更は、安全かつ綿密に行う必要があります。
Cloudflare Registrarはこうしたことを念頭に置いて設計されており、ドメインの所有権またはネームサーバー情報へのすべての変更は手動で検証され、実行されます。
Custom Domain Protectionを使用したドメインの保護
Cloudflare RegistrarのCustom Domain Protectionは、すべての移管リクエストに対して厳格な変更管理プロトコルに従います。目標は、お客様のネームサーバーまたは登録データの変更が、組織全体で承認されるようにすることです。Cloudflareでは次のセキュリティ機能をご提供します。
すべての変更リクエストを、オフラインで複数のユーザーが確認
常にレジストラーロックを使用
常にレジストリーロックを使用
すべての登録者アカウントに対して二要素認証を強制
カスタマイズ可能な認証プロセス
妥当性確認
複数の独立したオフライン検証ソースにより、攻撃者によるオンラインレジストラーアカウントの侵害の試みを食い止めます。
一般市場のレジストラーの多くはレジストラーロックをサポートしています。レジストラーロックとは、ロックが明示的に解除されないと、レジストリーが情報を変更できないようにするものです。しかしながら、攻撃者がレジストラーアカウントを侵害すると、ロックを解除できるようになるため、どのような変更も可能になってしまいます。
レジストリーロックは、レジストラーロックよりも強力なセキュリティを提供します。これにより、ロックが解除されるまで、レジストラー(本人を含む)による変更が防止されます。レジストリーレベルでロックを解除するには、レジストリーオペレーターとのネットワークを使わない通信が必要となりますので、まさに手動です。
運用上の変更は不要
レジストリーの変更とオペレーショナルDNS情報の変更とを混同しないでください。ネームサーバーと登録情報の変更には十分な検証が必要である一方で、ネームサーバー内のレコードの変更は、ほぼ瞬時に行われるべきものです。
Cloudflare Registrarは、お客様のオペレーショナルDNSインフラストラクチャへの変更を必要としません。お客様はこれまでと同様、追加設定なしに、A、AAAA、MX、その他すべてのレコードを更新できます。Cloudflare Registrarに移管する際、お客様のレジストリー情報は全く同じネームサーバーを指定できます。唯一の違いは、攻撃者がこれらの値を変更することが非常に困難になるということです。
Universal DNSSECによる階層型防御
Cloudflare RegistrarのCustom Domain Protectionは、レジストリーでドメインがハイジャックされるのを保護しますが、DNSの中間者攻撃には依然として脆弱性があります。Universal DNSSECは、暗号署名を使用して、お客様のドメインに対するすべてのDNSクエリを認証することにより、追加のセキュリティ層を設けます。Cloudflareがドメインのレジストラーであり、かつDNSプロバイダーでもある場合、DNSSECをシームレスに提供できます。