Defaults.Exposed › 修正 › DNSSEC
DNSSEC の直し方
DNSSECは、ドメインの住所録に押すデジタルの封印です。『このドメインはどこにあるか?』への答えが本当にあなたから来て、途中で改ざんされていないことを、インターネットが証明できるようにします。これがないと、答えは偽造されえ—訪問者が静かに別の場所へ送られます。
あなたのビジネスにとっての結論: DNSSECがないと、DNSの答えを汚染できる攻撃者が、ブラウザにあなたの本物のドメイン名を表示させたまま、顧客をサイトの完璧なコピーへ向けられます。ログイン・カード番号・個人データが収集され、あなたが知るのはチャージバックと苦情からです。中途半端に終わった壊れたDNSSEC設定はさらに悪い—あなたが決して気づかないエラーもなく、増えていく一部の訪問者にとってサイトを到達不能にしかねません。
これで失いかねないもの
- 本物のドメインを入力した訪問者が、パスワードとカード情報を捕らえるそっくりサイトへ静かにリダイレクトされます—アドレスバーにはずっとあなたのドメインが表示されているため、不正報告が届くまで誰も疑いません。
- メールが静かに転送先を変えられます。攻撃者があなたのメールサーバーの答えを偽造し、メッセージを読んだり傍受したりし、コードをメールで送ってくるアカウントのパスワードを再設定します—受信トレイに一切触れずに。
- 中途半端に設定されたDNSSEC(公開の封印はあるが対になる鍵がない)が、大手ISPや企業ネットワークの顧客にとってウェブサイトとメールをランダムに失敗させます—再現できない断続的な『私には落ちている』報告。
- 見込み客のセキュリティチームが契約前のチェックを行い、DNSSECがないのを見て、基礎に弱いと減点します—無料の設定のために商談を危険にさらします。
- 公共部門や大手のB2B買い手は、DNSSECを基準としてますます期待します(NIS2のような規制で名指しされています)。会話が始まる前に、その欠如が静かにあなたを入札から失格させます。
なぜ重要か。 DNSはインターネットの住所録で、初期状態ではその答えは署名されずに流れます—偽造した返信を滑り込ませられる者は誰でも、ブラウザに本物のドメインを表示させたまま、顧客とメールをどこへでも送れます。DNSSECはそれらの答えに改ざん防止の封印を押し、本当にあなたのものだと検証できるようにします。修正はほとんどのプロバイダーで無料です。本当のコストは間違ってやることだけで、だからこそ両方の半分を慎重に説明します。
DNSSEC、平易に言うと
誰かがあなたのウェブサイトを訪れたりメールを送ったりするたび、そのコンピューターはまずインターネットに単純な問いを尋ねます。『このドメインは実際どこにあるか?』 その答え—サイトとメールサーバーのアドレスの集合—は、インターネットの住所録であるDNSから返ってきます。
居心地の悪い部分はこうです。初期状態では、それらの答えは署名されずに流れます。答えが本物だと証明するものが何も付いていません。誰かがその会話に偽造した返信を滑り込ませられれば—そしてまさにそれを行う、よく知られた実証済みの方法があります—訪問者のコンピューターは喜んでそれを受け入れます。その瞬間から、訪問者はブラウザにあなたのドメイン名を表示させたまま、攻撃者のサーバーと話しているかもしれません。
DNSSECがその解決策です。DNSの答えに改ざん防止のデジタル封印を加えます。DNSSECがオンだと、インターネットは答えが本当にあなたから来て途中で変えられていないことを数学的に検証できます。偽造された返信は検査に落ち、捨てられます。誰でも書き込める住所録と、すべての項目が署名され立会人がいる住所録の違いです。
このページは、当社の検査が一緒に見る2つの部分を扱います。封印が公開されているか(DSレコード)と、その背後の対になる鍵が実際に存在するか(DNSKEYレコード)です。なぜ両方が重要かはすぐにわかります—片方を持ち片方を持たないのは、それ自体が一種の厄介事だからです。
これが招きうる損失
これらは現実的で集約的なパターンで—特定の名指しの企業ではありません。
- 見えないリダイレクト。 攻撃者があなたのドメインのDNSの答えを汚染します。顧客は本物のウェブアドレスを入力し、アドレスバーに本物のドメインを見て、攻撃者がホストするログインや決済ページの完璧なコピーに着地します。入力するすべてのパスワードとカード番号がまっすぐ犯罪者へ行きます。あなたが知るのは、チャージバックや『あなたのサイト経由でハッキングされた』という電話が始まったときだけで、痕跡はあなたのブランドへ辿られ、攻撃者へではありません。
- 静かなメール傍受。 DNSはウェブサイトだけでなくメールサーバーも指します。その答えを偽造すると、受信メールが先に攻撃者を経由してルーティングされえます。彼らは機密のメッセージを読み、サービスが『本人確認』のためにメールで送るワンタイムコードを収集し、あなたのドメインに紐づくアカウントのパスワードを再設定します—メールボックスに一度もログインせずに。
- 再現できない停止。 これは中途半端なDNSSEC設定から来ます。公開の封印(DS)はレジストラにあるのに、対になる鍵(DNSKEY)が欠けているか誤っています。DNSSECを確認するISPや企業ネットワーク—年々増えています—の訪問者は、あなたのドメインをまったく解決できません。サイトとメールはあなたと技術担当には問題なく動きますが、一部の実在する顧客は、あなたに見えるエラーもなく『このサイトに到達できません』を受けます。内側から見えないため、まさに最も診断しにくい問題のひとつです。
- 失われた商談。 見込み客のセキュリティ・調達チームが契約前にドメインを定例スキャンします。DNSSECなしが『DNSセキュリティの基本』に赤い印として現れます。無料でよく理解された制御について、その欠如は不注意と読め—危機にあったと知らなかった契約を静かに失わせます。
- そもそも資格を得られない入札。 規制と買い手のチェックリストは、DNSSECを期待される基準の衛生としてますます名指しします(NIS2のDNSセキュリティ条項の下で参照されています)。大手のB2Bや公共部門の買い手は、単にその欄にチェックがないという理由で、営業の会話が始まる前にあなたをふるい落とすかもしれません。
これの実体
DNSSECは信頼の連鎖として機能し、互いに一致しなければならない2つの可動部分があります。これが、当社の検査が2つのものを見る理由の核心です。
DNSKEY—あなたの鍵。 あなたのDNSプロバイダーは暗号鍵を保持し、それでDNSレコードに署名します。その鍵の公開側がDNSKEYレコードとして公開されます。あなたの側で保持される封印スタンプと考えてください。
DSレコード—鍵を保証する指紋。 その鍵の短い指紋、DS(Delegation Signer)レコードが、1つ上の階層—ドメインのレジストリ、レジストラ経由—に公開されます。これが、インターネットの残りがあなたの鍵を信頼できるようにするものです。各階層が下の階層を保証し、インターネットのルートまで連なります。DSは、他の全員が認識できるよう公式に登録される封印です。
DNSSECが実際にあなたを守るには、両方が存在し一致しなければなりません:
- DSあり + DNSKEYあり・一致 → 良い。 信頼の連鎖が完成しています。偽造された答えは拒否され、正規のものは検証されます。これが『合格』の状態です。
- DSなし(DNSKEYもなし)→ DNSSECが単にオンになっていない。 保護はありませんが、何も壊れていません。最もよくある『まだやっていない』状態です。(当社の採点では、ここでDSの検査が不利に数えられます。鍵を組み合わせた検査は、何も能動的に壊れていないため、完全に『オフ』のクリーンな状態を致命的な不合格ではなく情報提供として扱います。)
- DSあり、だがDNSKEYが欠けている・不一致 → 壊れていて、オフより悪い。 インターネットは、存在しない鍵を指す公開された封印を見ます。検証するリゾルバーはあなたのドメインが改ざんされたと結論し、解決を拒否します—上記の断続的な停止を引き起こします。これが最も急ぎ直すべき状態で、当社の検査は高重大度と指摘します。
- DNSKEYあり、だがレジストラにDSなし → オンだが有効化されていない。 レコードは署名されていますが、指紋が1つ上に登録されなかったため、インターネットの残りはそれを信頼する術がありません。仕事はしたが保護はなし。修正はレジストラにDSレコードを追加することです。
『良い』状態を一言で:レジストラのDSレコードの指紋が、DNSプロバイダーのライブのDNSKEYと一致し、両方が手早い照会で確認されること。
修正方法(無料・約10〜30分)
ドメインやウェブサイトを管理する人にこの項を渡してください。 修正そのものはほとんどのプロバイダーで無料です—唯一のコストは、2つの半分が同期を保つよう慎重に行うことです。当社が料金をいただくのは、後でそれが正しく有効のままか監視をご希望の場合のみです。
黄金律:まず署名を有効にし(これがDNSKEYを作ります)、それからレジストラでDSレコードを公開する—決して逆ではなく、決して片方だけでもなく。 鍵が存在する前にDSを公開することが、まさに停止を引き起こします。
簡単な道(推奨—Cloudflare):
- Cloudflareで、Cloudflareが実際にあなたのDNSを動かしていることを確認します(ネームサーバーがCloudflareを指す)。
- DNS → Settings → DNSSEC → Enable DNSSEC へ行きます。Cloudflareが鍵を生成・管理します(これがDNSKEY側を自動で作ります)。
- Cloudflareがレジストラで公開すべきDSレコードの詳細を表示します。
- ドメインレジストラ(例:Blacknight、GoDaddy、Namecheap、OVH)にログインし、DNSSECのセクションを見つけます。CloudflareがくれたDSの値を貼り付けます。
- 完全な伝播に24〜48時間待ちます。サイトとメールはその間も機能し続けます。
その他のDNSプロバイダー(AWS Route 53、ウェブホストなど):
- DNSプロバイダーのコントロールパネルで、DNSSEC/『このゾーンに署名』を有効にします。署名鍵を生成しDNSKEYレコードを公開します。
- プロバイダーが生成するDSレコードをコピーします。
- そのDSレコードを、レジストラのDNSSEC設定の下に追加します。
- レジストラが受け入れたことを確認し、伝播を待ちます。
プラットフォームの注記:
- Cloudflare — ワンクリックで有効化、それからレジストラでDSを1回貼る。圧倒的に最も簡単な道です。
- AWS Route 53 — ホストゾーンでDNSSEC署名を有効にし、それからドメインのレジストラでDSレコードを追加します(ドメインがRoute 53で登録されていれば、AWSが紐づけてくれます)。
- Microsoft 365 / Google Workspace — これらはメールを動かすもので、通常DNSゾーンは扱いません。DNSSECはDNSレコードが実際にある場所(多くはレジストラ、ホスト、Cloudflare)で有効にし、365/Workspaceの管理センターでは設定しません。
- DNSプロバイダーがDNSSECをまったくサポートしていない? 古いホストや格安ホストではよくあります。きれいな修正は、サポートするプロバイダー(Cloudflareは無料)へDNS管理を移し、上の簡単な道に従うことです。DNSを移すのにウェブサイトやメールを移す必要はありません。
機能したか検証する:
dig DS yourdomain.comとdig DNSKEY yourdomain.comを実行—両方がレコードを返すはずです。- または任意の無料オンラインDNSSECチェッカーで、緑/有効な信頼の連鎖を確認します。
- 両方が一致するレコードを返すまで、完了とみなさないこと。DNSKEYのないDSは壊れた状態です—直ちに直すか取り除いてください。
よくある間違い
- 鍵が存在する前にDSを公開する。 単一で最も害の大きい誤り。DNSプロバイダーで署名が実際にライブになる前に、レジストラでDSレコードを追加すること。これが『公開された封印、欠けた鍵』の状態を作り、DNSSECを確認する訪問者にとってドメインを解決不能にします。常にまず署名を有効にし、それからDSを公開しましょう。
- プロバイダー切り替え後に古いDSを残す。 DNSプロバイダーを移行(または署名を無効化)したのに、レジストラの古いDSレコードを取り除いたり更新したりし忘れると、もはや存在しない鍵を指したままになります—同じ壊れた結果です。DNSSECをオフにしたり移したりするときは、同じ変更でレジストラのDSを更新してください。
- ステップ1の後で止まる。 DNSプロバイダーで署名を有効化(DNSKEYを作成)したが、レジストラでDSを一度も追加しない。DNSダッシュボードではすべて『オン』に見えますが、DSがないと保護は決して有効になりません。仕事をして利益をひとつも得ていません。
- HTTPSやメール認証がすでにカバーしていると思い込む。 鍵マークとメール認証(SPF / DKIM / DMARC)は価値がありますが、別の問題を解きます。どれも、偽造されたDNSの答えがそもそも訪問者を間違った場所へ送るのを止めません。
- 有効化後に監視しない。 鍵は入れ替えられ、プロバイダーは変わり、レコードは編集されます。今日完璧な設定が数か月後に静かに壊れえます。DNSSECが有効にするほど重要なら、まだ有効か定期的に確認する価値があります。
あなたの評点でのこの位置づけ
この両方の検査はDNSセキュリティスコアに数えられます。DSの検査は2つのうちより高い優先度として扱われます。欠けているDSは実在のギャップで、不合格として採点されます。DNSKEYの検査は連鎖の残りが無傷であることを確認します—一致するDSとDNSKEYの両方が存在するときだけ合格し、危険な『鍵のないDS』の壊れた状態を高重大度と指摘します。きれいな『DNSSECがまだ有効でない』結果は多くの企業のよくある出発点です。そこから完全で一致するDS + DNSKEYの対へ移ることは、DNSセキュリティの立ち位置を改善し、なりすましと傍受の正真正銘の経路を取り除く、無料でよく理解されたアップグレードです。
ご利用のホストで設定する
主要な事業者向けのステップ別ガイド:
よくある質問
技術に詳しくありません。個人的に対応しなければなりませんか?
いいえ。なぜ重要かを理解する必要はあります(このページがカバーします)が、実際の変更はドメインのDNSとレジストラの設定にあるので、ドメインやウェブサイトを管理する人に属します。『修正方法』の項を渡してください—無料で、たいてい30分未満です。当社が料金をいただくのは、後でそれが正しくオンのままか監視をご希望の場合のみです。
サイトにすでに鍵マーク(HTTPS)があれば、すでに守られていませんか?
守るものが違います。鍵マークは、訪問者が正しいサーバーに到達した後の接続を守ります。DNSSECはその前のステップ—そもそも正しいサーバーに到達することを確実にする—を守ります。あなたのDNSを偽造する攻撃者は、訪問者を自分のサーバーへ送れ、それはそっくりドメインや、あなたのコピーにすら独自の有効な鍵マークを持てます。両方が必要で、ひとつが他の代わりにはなりません。
DNSSECをオンにするとウェブサイトやメールが壊れますか?
それをサポートするプロバイダーが1か所で行えば、いいえ—最新のプロバイダーは鍵を管理してくれ、ただ機能します。リスクは、2つの切り離されたステップで行い片方だけ終わることから来ます。レジストラで公開の『封印』(DSレコード)を公開しつつ、対になる鍵(DNSKEY)が欠けている・一致しない状態です。その壊れた状態はDNSSECがないより悪く、断続的な停止を引き起こします。下の手順は2つの半分を同期させ、これが起きないようにします。
Cloudflare / Google Workspace / Microsoft 365 でホストしています。それでカバーされますか?
自動的にはされませんが、簡単になります。重要なのはDNSがどこで管理されているかです。CloudflareがあなたのDNSを動かすなら、ワンクリックで有効化しレジストラにレコードを1つ貼るだけです。Microsoft 365とGoogle Workspaceは通常メールを扱い、DNSゾーンは扱いません—DNSSECはドメインのDNSレコードが実際にある場所(多くはCloudflare、レジストラ、ホスト)で有効にします。下の手順が一般的なケースをカバーします。
『DS』と『DNSKEY』とは正確に何で、なぜこのページは両方に触れるのですか?
ひとつの錠の2つの半分です。DNSKEYはDNSプロバイダーが保持し、レコードに署名するのに使う鍵です。DSはその鍵の指紋で、レジストラの1つ上の階層に公開され、インターネットの残りが鍵が本当にあなたのものだと確認できます。両方が存在し一致しなければなりません。両方を検査します。DSが欠けているとDNSSECがオンになっていない、対になるDNSKEYのないDSはオンだが壊れている、を意味します。
機能するまでどれくらいで、どう確認しますか?
変更がインターネット全体に完全に広がるのに24〜48時間を見てください。正しく行えば、既存のサイトとメールはその間も機能し続けます。確認するには、IT担当が'dig DS yourdomain'と'dig DNSKEY yourdomain'を実行し、両方にレコードが返るのを見るか、任意の無料オンラインDNSSECチェッカーを使えます。当社が継続的に監視し、将来の破綻が顧客の苦情の日ではなく起きた日に捕まるようにすることもできます。