本ブログのポイント
最近のAIボットトラフィックの300%急増を背景に、自動化されたスキャナーは、ダングリングCNAMEや期限切れの委譲といったDNSの設定ミスを体系的に次々と悪用しています。
米国国立標準技術研究所(NIST)の最新ガイドラインは、DNSを単なる運用ツールからゼロトラスト・アーキテクチャにおける「ネットワークセキュリティの基盤」として正式に引き上げ、DNS保護や暗号化、継続的な監視などの対策を義務付けています。
自律的なAIワークロードによって駆動される「Agentic Web」への移行が進む中、DNSのレジリエンスは不可欠です。軽微な設定ミスやゾーンのズレが、自動化された推論の呼び出しやワークフローを人知れず破壊してしまいます。
本記事では、攻撃者の標的になりやすい6つの主要なDNS設定ミスについて解説します。
「Akamai DNS Posture Management」は、社内、社外、クラウド、オンプレミスなど、あらゆるDNSプロバイダーを横断して一元的な管理基盤を提供し、これらの脆弱性に対処します。
米国国立標準技術研究所(NIST)が更新したDNS導入ガイドは、攻撃者がすでに知っている事実を裏付けています。それは、企業のDNSが「悪用可能な設定ミスの宝庫」になっているということです。本記事では、いまDNSに何が起きており、Akamai DNS Posture Management がそのセキュリティギャップをどう埋めるのかを解説します。
巧妙化する現代の脅威に「DNS Posture Management」がどう立ち向かうか
AIボットのトラフィックは2025年に300%という驚異的な急増を記録しました。そして、AIボットはDNSを積極的に悪用し、これから紹介するような設定ミスを探索しています。自動化されたスキャナーは、管理者に見つかる前に、ダングリングCNAMEを列挙し、公開されたリソースレコードを収集し、期限切れの委譲先を機械的なスピードで乗っ取ります。
2026年3月、NISTはDNSの保護に関する決定版ガイド「SP 800-81r3」を公開しました。その冒頭の一文は、事態の深刻さを物語っています。 「企業のDNSインフラに対する攻撃は、その企業のすべてのネットワーク運用を脅かす」
DNSは、組織におけるすべての通信の基盤です。ブラウザーがページを読み込む前、API呼び出しが成功する前、メールサーバーがメッセージを配信する前など、ほぼすべてのネットワークトランザクションの第一歩としてDNSが機能しています。この「中心的な役割」こそが、管理を怠った際の大きな危険性につながります。
それにもかかわらず、DNSの管理は日常的に後回しにされています。不要なレコードが蓄積し、委譲は放置され、プロバイダーは乱立。内部ゾーンと外部ゾーンの同期はズレていき、暗号化DNSは未設定のまま放置されているという状況は珍しくありません。そして、これらすべてを横断的に可視化できる部門は存在しないことが多いのです。
Akamai DNS Posture Management はこうした課題を解決します。
DNSは「ネットワークセキュリティの基盤」へと進化
DNSの本来の目的は、人間が読める名前をIPアドレスに変換するというものでした。しかし、NIST SP 800-81r3は、この役割が恒久的に拡大したことを正式に認めています。DNSは現在、単なるサービスではなく、ゼロトラストおよび多層防御アーキテクチャにおける「ネットワークセキュリティの基盤」として位置付けられています。
DNSはすべてのネットワーク通信ストリームに先行するため、最初の悪意あるパケットが送信される前に、何をブロックし、ログに記録し、フラグを立てて脅威を阻止すべきかをDNSリゾルバは把握しています。DNSを受動的なツールとしてしか扱っていない組織は、最も効果的なセキュリティのレバーを引かずに放置しているのと同じです。
NISTの指針は明確です。DNS保護を展開し、DNSトラフィックを暗号化し、DNSSECでゾーンを署名し、インフラをDNSサービスに特化させ、設定ミスを継続的に監視することです。これらの推奨事項に従うことで、ネットワーク規模で機能するセキュリティ制御を獲得し、すべてのデバイス、すべてのクラウドワークロード、およびすべてのIoTエンドポイントを同時に保護できるようになります。
Agentic Webの屋台骨としてのDNS
マシンが自律的にアクションを実行するAgentic Webへと移行するにつれ、DNSの信頼性はさらに重要になっています。1つのタスクに対して5〜10回の推論呼び出しを行うAIエージェントにとって、ゾーンのズレによる遅延や、サブドメイン乗っ取りによるセキュリティリスクは許容できません。すべてのツール呼び出し、モデルのエンドポイント、検索ステップは、まずDNSを通じて名前解決されます。つまり、委譲の設定ミスは単にユーザーを不便にするだけでなく、自動化されたワークフロー全体を人知れず破壊してしまうのです。
新たなアタックサーフェスを生み出している300%のAIボットトラフィックの急増は、同時に、エージェントが依存するインフラに対するリスクも高めています。DNS Posture Management は、AIを支えるインフラがレジリエントで、適切に認証され、継続的に検証された状態を維持することを保証します。これにより、自律的なワークロードは設計通りのスピードと規模で稼働し続けることができます。
攻撃者が狙う6つの「DNS設定ミス」
NIST SP 800-81r3は、権威DNS、キャッシュDNS(再帰的リゾルバ)、およびスタブリゾルバ全体にわたる脅威サーフェスの全容をカタログ化しています。これらは理論上の脅威ではなく、企業が現在直面している活発な悪用経路であり、AIボットが大規模にシステムを探索するのと同じ経路です。攻撃者が狙う6つの設定ミスと、その影響度は以下の通りです。
CRITICAL: ダングリングCNAMEとサブドメインの乗っ取り
CRITICAL: Lame Delegationの悪用とドメインのハイジャック
HIGH: Look-alikeドメインの悪用(タイポスクワッティング)
HIGH: ゾーンのズレ、ゾーンのスラッシング、データの一貫性欠如
HIGH: 公開されたリソースレコードを通じた情報漏えい
HIGH: DNSSECの欠如と暗号化されていないDNSトラフィック
CRITICAL: ダングリングCNAMEとサブドメインの乗っ取り (NIST SP 800-81r3 §3.6.1)
CNAMEレコードが、自社ですでに登録を解除した親ドメインを指している場合、脅威アクターはそのゾーンを登録し、DNSの名前解決を彼らが管理するインフラにリダイレクトさせることができます。これにより、正規ドメインの信頼と評判がそのまま乗っ取られてしまいます。自動化されたボットは、未登録のドメインを大規模にスキャンし、管理者が気づく前に、期限切れとなった委譲先を確保しようとします。
CRITICAL: Lame Delegationの悪用とドメインのハイジャック (NIST SP 800-81r3 §3.6.2)
Lame Delegationは、サブドメインがDNSホスティングプロバイダーに委譲されているものの、委譲設定が削除されないままサービスの契約が切れてしまった場合に発生します。攻撃者は同じプロバイダーと契約してそのサブドメインをホストすることで、直ちに名前解決の要求に対する制御権を握り、トラフィックを自らのインフラにリダイレクトできるようになります。
HIGH: Look-alikeドメインの悪用(タイポスクワッティング) (NIST SP 800-81r3 §3.6.3)
脅威アクターは、標的とした組織になりすますために、酷似したドメインやタイポスクワッティング(タイプミスを狙った)ドメインを登録します。これには、微妙な文字の置き換えや、国際文字セットから似た文字(ホモグラフ)を使用するなど、ユーザーが正規ドメインと見間違えやすいバリエーションが含まれます。NISTはまた、使用されなくなった委譲を攻撃者が登録し、古いリンクやブックマークを持つユーザーに対してなりすましのリスクにも警告を発しています。
HIGH: ゾーンのズレ、ゾーンのスラッシング、データの一貫性欠如 (NIST SP 800-81r3 §3.2.2)
SOA(Start of Authority)レコードの「Refresh」や「Retry」の値が、ゾーンの変更頻度に対して不適切に設定されていると、プライマリネームサーバーとセカンダリネームサーバーの同期が失われます。値が長すぎると、古い誤ったDNSデータが残る「ゾーンのズレ」が生じ、短すぎると、過剰なゾーン転送でサービスが低下する「ゾーンのスラッシング」が発生します。これらのエラーは、サービス障害を引き起こしたり、AIエージェントの推論呼び出しが密かに失敗したりするまで、表沙汰になることはほとんどありません。
HIGH: 公開されたリソースレコードを通じた情報漏えい (NIST SP 800-81r3 §3.5.1)
HINFO、RP、LOCといったレコードや、設定を誤ったTXTエントリは、攻撃者や彼らが展開するボットに対し、社内インフラの詳細なマップ(悪用可能な既知の脆弱性を持つOSやサービスなど)を渡してしまう可能性があります。NISTは、インターネットに面したゾーンからこれらのレコードタイプを完全に除外することを推奨しています。
HIGH: DNSSECの欠如と暗号化されていないDNSトラフィック (NIST SP 800-81r3 §3.8, §4.2.1)
DNSSECはDNSデータに暗号化による完全性を提供し、キャッシュポイズニング、レスポンスのなりすまし、MITM(中間者)攻撃を防ぎます。暗号化DNSプロトコル(DoT、DoH、DoQ)は、クエリとレスポンスのトランザクションのプライバシーと完全性を保護します。米国政府は、連邦政府の行政機関に対して暗号化DNSの導入を義務付けています。またNISTは、不適切なDNSSEC管理(特にキーのロールオーバー時)そのものが、DNSサービス障害の原因になると明確に警告しています。
なぜ「統合的なDNSポスチャ管理」が不可欠なのか
これら6つの脅威には、「誰も継続的に監視していないDNSの構成変更」という共通の根本原因があります。企業が複数の権威DNSプロバイダー、ハイブリッドクラウド環境、そして何十ものSaaS統合へと拡張していく中で、さらにAIエージェントがDNSに依存するワークロードを倍増させています。アタックサーフェスの拡大スピードは、手動での追跡や保護の限界をはるかに超えています。
Akamai DNS Posture Management は、外部および内部、クラウドホスト型やオンプレミス型など、あらゆるプロバイダーのすべてのDNSタイプを横断して一元的に管理する管理基盤によってこの課題を解決します。NISTのガイダンスを自動的に運用レベルへ落とし込み、従来であれば複数のチームによる手動監査が必要だった作業を、継続的かつ自動化された検知とガイダンスに基づく修復へと変革します。
- 自社環境全体のすべてのCNAMEおよびNSの委譲先を継続的に名前解決することで、ダングリングCNAMEとLame Delegationを特定します。攻撃者や自動化スキャナーに悪用される前に、自社の管理下にないインフラを指しているものをフラグ付けします。
- 文字の置き換え、ホモグラフ、TLDの変更を含むドメインのバリエーションを能動的に監視することで、Look-alikeドメインやタイポスクワッティングを浮き彫りにします。さらにHTTPプロービングを用いて、どのドメインが稼働しており、悪用される可能性があるかを特定します。
- スキャンサイクルのたびにすべての権威DNSプロバイダー全体でSOAパラメータを監査することで、ゾーンのズレとスラッシングを捉えます。名前解決の失敗やAIワークフローの停止を引き起こす前に、プライマリとセカンダリの一貫性を検証します。
- 公開されたリソースレコード(HINFO、RP、LOC、および冗長すぎるTXTエントリ)は、すべてのプロバイダーを横断してインベントリ化され、漏えいしている具体的な情報とともにフラグが立てられるため、管理チームは迅速に削除の判断を下すことができます。
- 未署名のゾーン、非推奨アルゴリズム(RSA/SHA-1など)、RRSIGの有効期限切れ間近、キーのロールオーバー設定ミスといったDNSSECのギャップは、最新のNISTの推奨事項に照らし合わせて継続的に検証されます。
検知された各問題は、正確なレコードのコンテキスト、プロバイダーの詳細、およびステップバイステップの修復ガイダンスとともに提示されます。プロバイダーのダッシュボードをまたいで手作業で推測したり、関連付けを行ったりする必要はありません。Splunk、Sumo Logic、Datadog、AWS Security Hub、PagerDuty、ServiceNowといったツールとのネイティブ連携により、検知されたすべての設定ミスは、セキュリティオペレーションチームがすでに業務で使用しているプラットフォームに直接連携されます。
DNS設定の継続的な監視を
NIST SP 800-81r3は、セキュリティチームが抱いていた「DNSはもはや単なるツールではない」という疑念を確信にしました。DNSはセキュリティ制御の基盤であり、他のあらゆる制御と同様に、その有効性は「適切に設定され、継続的に保守されているかどうか」に完全に依存しています。
最新のNISTガイドに記載されている設定ミスは、決して珍しい事例ではありません。クラウドサービスの廃止、ドメイン契約の満了、プロバイダーの変更、チームによるゾーンへの署名忘れなど、組織の通常の変更作業の産物として生じるものです。しかし、AIエージェントと機械的スピードの偵察が当たり前となった今の時代において、こうした変更の積み重ねは、人間の攻撃者と自動化ツールの双方が24時間体制で能動的に探索するアタックサーフェスとなってしまいます。
Akamai DNS Posture Management は、こうしたセキュリティの隙を塞ぎます。すべてのプロバイダー、すべてのゾーン、すべてのレコードタイプにわたるDNSインフラの全容を、NISTガイダンスに準拠した継続的なポスチャ監視下に置き、単一の運用ビューで可視化します。
DNS環境のセキュリティを確保するために
DNS Posture Managementを実際にご覧になりたい方は、Akamaiの担当者までご連絡ください。
Tags