CNAMEレコードの検索

なぜドメインのCNAMEレコードを確認すべきですか？

• DNS設定の確認

  特定の頻繁に使用される設定（サブドメインをメインドメインにリダイレクトするなど）では、CNAMEレコードの作成が必須手順の一つです。CNAMEルックアップは、レコードが正しく作成されインターネット全体に伝播されたことを確認する最も簡単な方法です。さらに、CNAMEは連鎖させることができるため、CNAMEルックアップはアクセス障害を引き起こしている壊れた連鎖を特定するのに役立ちます。

• 悪意のある活動を検出する

  サイバー犯罪者はCNAMEレコードを利用し、一見正当なサブドメイン（例： login[.]amazon-secure[.]com）を悪意のあるサイトへ誘導できる。 CNAMEルックアップによりこのリダイレクトを暴露し、 トラフィックの真の行き先を明らかにできます。またCNAMEレコードはDNSトンネリング（特にペイロード隠蔽）に利用される場合があるため、 CNAMEルックアップは不審なCNAME応答の検知に有効です。

• 真のドメインを特定する

  CNAMEレコードは、エイリアスが指す「真の」または正規のホスト名を明らかにします。これは、特にコンテンツ配信ネットワーク（CDN）やプラットフォームベースのウェブサイトなどのサービスにおいて、ウェブサイトのコンテンツが実際にどこでホストされているかを理解するために重要です。

• 攻撃インフラを調査し、マップ化する

  セキュリティアナリストにとって、ドメインのCNAMEレコードを確認することは、より大規模な悪意のあるインフラストラクチャの一部である可能性のある他のドメインへと導くことがあります。例えば、CNAMEチェーン上で複数の不審なドメインを発見する可能性があります。

よくあるご質問

CNAMEレコードとは何ですか？また、他のDNSレコードとはどのように異なりますか？

正規名（CNAME）レコードは、ドメインまたはサブドメインを別のドメインの別名として指定するDNSレコードタイプです。AレコードやAAAAレコードとは異なり、CNAMEはドメインまたはサブドメインをIPアドレスではなくホスト名（別のドメインまたはサブドメイン）に解決します。CNAMEを持つドメインに対するDNSクエリが行われると、DNSサーバーはまず正規のホスト名を取得し、そのIPアドレスを解決するために追加の検索を実行します。

CNAMEレコードは、サブドメインの管理やサードパーティサービスへのトラフィック誘導に最適な独自の機能を果たします。単一の正規ドメインにすべての変更を集中させることで、IP解決の管理を簡素化します。つまり、そのドメインのIPアドレスが変更されると、手動操作を必要とせずにすべてのエイリアスが自動的に更新されます。

CNAMEレコードはどのように機能しますか？

クライアント（ウェブブラウザなど）がwww.example.comのようなCNAMEレコードを持つウェブアドレスにアクセスしようとすると、DNSリゾルバーはexample.comの権威ネームサーバー（NS）に問い合わせます。ドメインにCNAMEレコードが存在するため、権威NSはIPアドレスではなくCNAME（例：example1.com）を返答します。

DNSリゾルバーは別のクエリを実行します。今回はexample1[.]comに対してです。このクエリがAレコードまたはAAAAレコードを解決した場合、リゾルバーはクライアントにウェブサイトを読み込むために必要なIPアドレスを提供できます。 正規名（カノニカルネーム）が別のドメインを指すCNAMEレコードを持つ場合もあります。この場合、DNSリゾルバーは2つ目のCNAMEに対して再度クエリを実行します。この「CNAMEチェーン」と呼ばれるプロセスは、リゾルバーが最終的なIPアドレスを含む非CNAMEレコード（IPv4用のAレコードやIPv6用のAAAAレコードなど）を見つけるまで継続します。

CNAMEレコードはいつ使用されますか？

CNAMEレコードは、ドメインをCDNやその他のサードパーティサービスと統合する際に特に有用です。例えばCDNサービスに登録する際、CNAMEレコードを使用してドメイン（例：www[.]yourcompany[.]com）をCDNが提供する特定のドメイン（例：yourcompany[.]cdnprovider[.]com）に指し示すことができます。 これにより、CDNプロバイダーがサーバーのDNS設定を管理している間も、ドメイン名の制御を維持できます。たとえプロバイダーのIPアドレスが変更されても、DNSレコードを頻繁に更新する必要なく、サービスを継続的に提供できるのです。

ドメインが異なる国別コードトップレベルドメイン（ccTLD）を持つ場合（例：example.us、example.es、example.fr）、これらのドメインを親ドメイン（example.com）へリダイレクトするためにCNAMEレコードの使用が必要になる場合があります。

CNAMEレコードはサブドメイン管理においても有用です。複数のサブドメインを単一のメインドメインに指し示すために頻繁に使用されます。例えば、企業はCNAMEを使用してblog[.]example[.]comやshop[.]example[.]comを正規名example[.]comに誘導できます。

フィッシング検出や脅威インテリジェンス収集のためにCNAMEルックアップツールをどのように使用できますか？

CNAMEレコードの照会により、サブドメイン乗っ取りの足がかりとなり、フィッシングやマルウェアにつながる可能性のある「ぶら下がりCNAME」（廃止されたサービスでCNAMEが有効なまま残っている状態）を特定できます。CNAMEチェーンを分析することで隠れた悪意のあるインフラを明らかにし、脅威調査担当者が悪意のあるネットワークをマッピングすることを可能にします。

CNAMEルックアップツールはどのように機能しますか？

当社のCNAME検索ツールにドメイン名を入力すると、そのドメインの権威ネームサーバーにリクエストが送信され、当該サーバーがドメインのCNAMEレコードを返答します。CNAME検索ツールは関連するレコードをポップアップウィンドウに表示します。ドメイン名にCNAMEレコードが存在しない場合、ツールは「指定されたドメインのCNAMEレコードが見つかりませんでした」というメッセージを表示します。

CNAMEレコードの使用に関する制限は何ですか？

CNAMEレコードにはいくつかの制限があります。まず、ドメインまたはサブドメインにはCNAMEレコードを1つしか設定できません。これは、DNSが次のDNSリクエストを正確にどこへ転送すべきかを把握する必要があるためです。また、同一ドメイン内ではCNAMEレコードを他のレコードタイプ（Aレコード、MXレコード、NSレコードなど）と共存させることができません（DNSSECレコードはこの規則の例外です）。 このため、CNAMEレコードはゾーンの頂点（ルートドメイン）では使用できません。そのレベルではSOAレコードとNSレコードが必須となるためです。さらに、MXレコードとNSレコードは、正規名レコードを持つドメインを指してはなりません（AレコードまたはAAAAレコードを持つドメインを指す必要があります）。

これらの制限は、RFC 2181 の特定のセクション10.1および10.3、ならびに RFC 1034 のセクション3.6に詳述されている。

ドメイン名の他のDNSレコードはどうすれば確認できますか？

当社のDNSルックアップAPIをご利用いただけます。このAPIはCNAMEレコード、Aレコード、SOAレコード、その他のDNSレコードタイプを返します。ルックアップツールもご利用可能です。ドメインのTXTレコードのみを検索したい場合は、無料のTXTルックアップツールをご利用ください。ドメインのMXレコードを取得するには、無料のMXルックアップツールをご利用ください。