Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。
「Lame Delegation」または「Lame Response」とは、ドメイン・ネーム・システム(DNS)において、権威 DNS 情報の提供を委任された 1 つ以上のネームサーバーがそれを行えない状態を指します。Lame Delegation は、DNS 検索時間の増加、ユーザー体験の悪化、SEO パフォーマンスの低下、解決失敗の可能性、DNS 攻撃に対する脆弱性、ドメインの DNS パフォーマンスの低下につながります。
DNS とは
ドメイン・ネーム・システムは、Web ドメインなどの名前を IP アドレスに変換する役割を担います。ユーザーが Web を簡単に移動できるようにするために、Web ドメインは「example.com」のように読みやすく覚えやすい名前で構成されています。ただし、Web サイトに接続するためには、マシンが実際の IP アドレスを知っている必要があります。それは通常、英数字の長い文字列です(たとえば、2600:1401:4000:5b1::b63)。DNS は電話帳のように、ユーザーが Web ブラウザーに入力した Web ドメインの IP アドレスをすばやく提供します。また、DNS は、ユーザーがリンクをクリックしたときや、デバイスやアプリケーションが Web 上の他の類似リソースにアクセスする必要があるときにも、IP アドレスを提供します。
DNS の仕組み
ユーザーやデバイスが Web サイト、デバイス、またはインターネットに接続されたリソースに接続しようとすると、デバイスは DNS リクエストまたはクエリーを DNS サーバーのネットワークに送信して、選択した Web サイトの IP アドレスを見つけようとします。権威 DNS ネームサーバー(NS)には、各 Web サイト、デバイス、またはリソースの正しい IP アドレスを識別する正式な DNS レコードを保持する責任があります。キャッシュ DNS サーバーは、ユーザーのデバイスと権威 DNS サーバーの間の仲介役です。キャッシュサーバー(別名:再帰リゾルバー)は、ユーザーの近くに配置され、多くの DNS レコードをキャッシュメモリーに保存しておくことで、ユーザーが頻繁に(または繰り返し)リクエストする Web ドメインの IP アドレスを迅速に生成できるようにします。キャッシュサーバーに DNS レコードが保存されていない場合は、他のネームサーバーに問い合わせるか、最終的にはドメインの NS レコードの保持を委任されている権威ネームサーバーからデータを取得します。ユーザーのデバイスはキャッシュサーバーから IP アドレスを受け取り、ブラウザーなどのアプリケーションで正しい Web サイトをロードしたり、アプリケーションやサービスに適切に接続したりします。
Lame Delegation の発生原因
Lame Delegation は、ドメインに関する権威応答を提供する責任のあるネームサーバーが DNS クエリーに応答できない場合や、何らかの形で不適切に応答する場合に発生します。Lame Delegation の原因としては、次のことが考えられます。
- 利用不可。ネームサーバーが到達不能である場合、機能しない場合、またはネームサーバーの IP アドレスがルーティングされていない場合、Lame Delegation が発生することがあります。
- 誤設定。ネームサーバーが正しく設定されていない場合、または DNS ソフトウェアが正しく機能していない場合、ネームサーバーはクエリーに応答できません。
- 接続の欠如。ネットワーク接続の問題やファイアウォールの制限により、ネームサーバーが到達不能になる場合があります。
- 不整合。委任された複数のネームサーバー間の DNS 設定に一貫性がない場合、Lame Delegation が発生する可能性があります。DNS ゾーンデータが異なっている場合、またはゾーン転送が正しくない場合に、設定の不整合が生じることがあります。
- 存在しない。ドメインの指定ネームサーバーが存在しない場合、または委任レコードを更新せずに指定ネームサーバーが廃止された場合、ネームサーバーは DNS クエリーに正しく応答できません。
- 未更新。新たな委任が行われたが、特定のネームサーバーが未設定または未更新の場合、ネームサーバーは DNS クエリーに正しく応答できません。
Lame Delegation の影響
Lame Delegation は、次のような悪影響を及ぼす可能性があります。
- 検索時間の増加。Lame Delegation が発生すると、DNS リクエストの解決に長い時間がかかるようになり、Web ページのロードや Web リソースへのアクセスに遅延が生じる可能性があります。
- 解決の失敗。Lame Delegation が発生すると、ドメインの DNS 解決が失敗し、ユーザーとデバイスがドメインに到達できなくなる可能性があります。これにより、機能が損なわれ、ダウンタイムが発生します。
- ユーザー体験の悪化。検索時間の増加や解決の失敗は、遅延、タイムアウト、エラーを招き、必然的にユーザー体験が悪化することになります。
- セキュリティ上の脅威。攻撃者は、応答しないネームサーバーや誤設定のネームサーバーを悪用して、DNS ハイジャック、キャッシュポイズニング、増幅攻撃など、さまざまな DNS 攻撃を実行する可能性があります。
- オーガニック検索のパフォーマンスの低下。Lame Delegation が頻繁に発生するドメインは、検索エンジンの検索結果ページ(SERP)で上位に位置づけられない可能性があります。検索エンジンによる当該ドメインへのアクセス、クロール、インデックス作成が困難になるためです。
- オンラインレピュテーションの低下。Lame Delegation が頻繁に発生すると、Web サイトやドメインのオンラインレピュテーションが損なわれ、ユーザーや顧客の信頼が失われる可能性があります。
Lame Delegation の防止方法
IT チームとセキュリティチームは、次のようなベストプラクティスにより、Lame Delegation を防止し、DNS サービスの効率的な稼働を維持できます。
- ネームサーバーの設定を定期的に検証することで、ネームサーバーが正しく設定されており、DNS クエリーに応答していることを確認します。
- 異なる場所やネットワークにある複数のネームサーバーに DNS 委任を分散することにより、冗長性を高めます。これにより、1 つのサーバーが応答しなくなった場合でも、システムがクエリーを処理し続けられるようになります。
- ネームサーバーの健全性と応答性をプロアクティブに監視することで、問題を早期に検知できます。
- DNS 監査を定期的に実施し、すべての権威 DNS サーバーの委任情報が最新かつ正確で、一貫していることを確認します。
- DNS Security Extensions(DNSSEC)を有効にすることで、DNS 解決のセキュリティと完全性が向上します。これにより、DNS 応答の信頼性を高めて、DNS スプーフィングのリスクを緩和できます。
- 優れた DNS ホスティングプロバイダーを選択することで、堅牢なインフラ、DNS の専門知識、ツールを利用し、Lame Delegation を防止できます。