“ドメイン移管ロック”も効果なし…… 自社ドメインを守るためにできる3つのこと：半径300メートルのIT

会社の「顔」ともいえる「ドメイン」ですが、「重要な情報であり奪われてはならない資産」という認識を持っていない方もいます。これを盗まれるとどうなってしまうのでしょうか。

[宮田健，ITmedia]

　JPCERTコーディネーションセンター（JPCERT/CC）の公式ブログで気になる記事が公開されていました。「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件」と題されたものです。

　この記事では、企業が持つ「ドメイン」の管理情報を狙って担当者にフィッシングを仕掛け、偽のWebサイトにドメイン管理会社（ドメインレジストラ）の認証情報を入力させた上で、ドメインを乗っ取るという手法を解説しています。

　ドメインは会社の「顔」です。先日もその「顔」が期限切れになったことで大きな騒動になったことがあったと思います（これに限らず現在進行形でさまざまなドメインが問題になっています）。

　運用が終了したドメインならまだしも、このフィッシングで奪われるのは現在使用しているドメインですので、場合によっては電子メール配信の経路も含め、電子メールそのものを奪われる事態が発生してしまいます。ドメインを持つ全ての方が必読の注意喚起でしょう。

フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック攻撃の流れ（出典：JPCERT/CCの公式ブログ）

自社ドメインが奪われるとどうなる？

　ドメイン周りのインシデントで思い出されるのは、2020年8月に本連載で取り上げたコインチェックの事例です。運用チームのメンバーが「普段よりも遅いかも」と感じたその直感が、ドメイン乗っ取り検知につながるという、まるで謎解きゲームのようなインシデントでした。

　後に公開された報告書はセキュリティに関連する方々の中でも非常に大きな話題となり、アイティメディアのセミナーにも登壇してもらったことがつい最近のように思えます。

　この事件は、JPCERT/CCが取り上げた事例と攻撃の初期の部分が異なり、自社が管理し得ない「ドメイン管理会社」自体が狙われ、そこに預けていた情報が直接改ざんされたというパターンです。対してJPCERT/CCの方は認証情報を奪われてSaaSに侵入されるものを想定していると考えられます。

　そして皆さんの頭の中に、「ドメイン」が「重要な情報であり奪われてはならない資産」という認識があるかどうかが、本事件を正しく理解する第一歩だと言えます。筆者もこうした事件が起きたタイミングでなければ、そういう認識があると自信を持って言えないかもしれません。

新しい事件でも“やるべきこと”は変わらない

　JPCERT/CCは公式ブログで下記の対策を推奨しています。この内容自体はドメイン管理会社かどうかにかかわらず、セキュリティ対策の基礎となるものではないでしょうか。

1. 検索サイトで表示されたリンクが正しいものと断定せず、確認済みの公式アプリや、WebブラウザにブックマークしていたURLからアクセスする
2. Webサイトが提供するセキュリティ機能（二段階認証など）を活用する
3. 簡単なパスワードや同じパスワードの使い回しを避ける

　問題なのは恐らく2番目の対策で、二段階認証を利用したくても、利用しているサービスがそれを提供していない場合かもしれません。これについては利用者全体がセキュリティ意識を高め、二段階認証を提供していないサービスを選択しないというプレッシャーをサービス提供ベンダーに与え続けていかねばならないでしょう。

　ただ、個人的には今回の記事の最も重要なポイントは以下だと思っています。

なお、ドメイン管理担当者が対象ドメインに対してドメイン移管ロックの機能を利用していましたが、攻撃者自身がドメイン移管ロックの解除を行っています。

（JPCERT/CCの公式ブログより引用）

　多くのドメイン管理会社は、ドメインの移管を勝手に変更できないように「ドメイン移管ロック」に相当する機能があります。しかし認証情報を奪っていれば、この移管設定の変更を簡単にできてしまうことも冷静に考えれば理解できるはずです。

　同事例では連絡先の電子メールアドレスも変更されていたそうです。元の電子メールアドレスにも確認が飛び、そこから何かしらの承認がなければ電子メールアドレス変更を許可しないといった仕組みがなければ、設定の変更には気が付かないかもしれません。

　ここから学べることは「セキュリティ対策を過信しない」「設定が変更されることもある」「管理者の認証情報を軽く考えると大事故につながる」ということでしょう。これを踏まえると、JPCERT/CCが推奨する対策の重要性がより一層理解できるのではないでしょうか。

　SaaSの設定に起因するインシデントが増加している今、これをどう管理するかは企業にとって喫緊の課題となっています。これを機に、「設定変更のタイミングで検知ができるかどうか」「設定変更は意図したものかどうか」など自社の運営体制を見直してみてください。

　余談ですが、最近では個人向けのサービスで「パスキー」対応が増えており、個人的にもうれしく思っています。しかしパスキーは基本的に個人とIDをひも付けるもので、会社の部署単位で管理するようなアカウントでパスキーをどう適用するかは、まだ運用が固まっていないところも多いでしょう。

　端末とパスキーをひも付けても、その端末で使用するWebブラウザの「Googleアカウント」や、Appleの「Apple ID」とのひも付けになるため、場合によってはむしろセキュリティレベルが下がると捉えられるかもしれません。この点、現場ではどう対応されているのか気になるところです。

　ドメインは企業所有だけでなく、個人で幾つも所有しているという方がいるかと思います（筆者も3つ持っています）。その他、あまり考えたくはありませんが「企業のドメインを個人／部署で管理している」という、企業側が関知していないドメインもあるかもしれません。しかしドメイン情報は非常に機微なもので、さまざまな資産にひも付いています。ドメイン情報に特化した運用というよりは、そういった絶対に奪われたくない情報をどう管理するかを考え、その中にドメイン情報を含んで考えるとよいかもしれません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。