少し前に Azure CDN か Front Door を利用しているユーザー向けに以下のようなメールが届いていると思います。運用中の CDN / Front Door に関しては影響はないですが、削除する前にそれらをポイントしている DNS レコードを前もって削除しないといけなくなりました。

CNAME レコードとメールには記載されていますが、実際に試したところ A レコード + Alias record set の組み合わせの場合でも、CDN / Front Door 削除時にチェックが走ってエラーとなりました。

何故今回のような変更が行われたかというと、言わずもがな Subdomain Takeover への対策になります。

去年、主に Cloud Services と Traffic Manager に対しての Subdomain Takeover が大規模に行われていることが発見され、結構な大ごとになりました。当時のまとめは以下のエントリに記載しています。

Cloud Services や Traffic Manager と同様に CDN / Front Door は同名のリソースを再取得できるのと、カスタムドメインの追加時に CNAME のチェックしか行われないのでこのままだと攻撃対象にはなりますが、リソースの削除時にチェックを入れることで DNS レコードを確実に削除させる方向での対応になっています。*1

今回のアップデートに関しては Azure における Subdomain Takeover への対策をまとめたドキュメントへは反映されていないようですが、しばらくすればアップデートされると思います。

このドキュメントはちょいちょいアップデートされていて、当時は機能として存在しなかった Azure Defender for App Service を使った方法も紹介されています。Security Center はベストプラクティスを理解するのに有用なので、重要なリソースに対しては有効にしておきたい機能です。

既にカスタムドメインを当てている CDN / Front Door があったので、DNS レコードを削除することなくリソースの削除を試してみると、以下のようにエラーとなりました。

エラーメッセージも分かりやすいものになっているので、今後は CDN / Front Door に関しては Subdomain Takeover を受けるリスクが下がったかと思います。

ちなみに Cloud Services に関しては Extended support でも特に変化はないので、利用者に委ねられているのは変わらずです。早急に App Service などの対策が行われたマネージドサービスへ移行するのが良いです。