横行するドメイン乗っ取り、100万件超が標的に 「いいカモ」にならないための対策は？：この頃、セキュリティ界隈で

DNS管理の不備を突いて有名企業などのドメインを乗っ取り、詐欺や迷惑メールなどに悪用する攻撃が横行している。攻撃はほとんど気付かれることなく簡単に実行可能で、100万を超すドメインが悪用可能な状態にあるという。

[鈴木聖子，ITmedia]

　DNS（ドメインネームシステム）管理の不備を突いて有名企業などのドメインを乗っ取り、詐欺や迷惑メールなどに悪用する攻撃が横行している。攻撃はほとんど気付かれることなく簡単に実行可能で、100万を超すドメインが悪用可能な状態にあると推定されている。

横行するドメイン乗っ取り、100万件超が“いいカモ”に

　「Sitting Ducks」（いいカモ、格好の標的の意味）と名付けられたドメイン乗っ取り攻撃は、例えば「itmedia.co.jp」のようなドメインと、数字のIPアドレスを結び付けるために必要なDNS設定・管理の不備に起因する。サイバーセキュリティ企業の米Infobloxと米Eclypsiumがこのほど詳しい調査を通じて実態を明らかにした。

「Sitting Ducks」攻撃のシークエンス（Infobloxの公式Webサイトから引用）

　Infobloxによると、問題が初めて指摘されたのは2016年12月。その2年後には数千件のドメイン乗っ取りが発覚した。しかし今に至っても問題が周知されないまま未解決の状態が続き、ここ数年の間に世界中で悪用が増え続けているという。

「カモ」になるドメインとは？

　被害に遭っているのは管理が不適切なドメインで、古くなったり使用されなくなったりしたドメインの他、複数の国のTLD（トップレベルドメイン）にまたがるドメイン、企業のブランドを守るために登録された類似ドメインなどが狙われている。

　原因は「ドメイン登録事業者（レジストラ）やDNSプロバイダーの設定の不備と、防止策の不徹底にある」とInfobloxは指摘する。具体的には、ドメインの管理がレジストラとは別のDNSプロバイダーやWebホスティングプロバイダーに不適切な状態で委任されていて、委任された側がそのドメインの所有権確認を徹底していない場合に「カモ」となる恐れがある。

　攻撃者がこの問題を悪用すれば、委任先のプロバイダー側でドメインを乗っ取って、正規の所有者のアカウントにアクセスすることなくDNS記録を書き換え、不正なIPアドレスと結び付けることができてしまう。この問題は、大手DNSプロバイダーやWebホスティングプロバイダー多数に存在しているという。

　Infobloxがドメイン委任に関する調査を行ってDNSプロバイダー十数社を調べた結果、18年以来、2万5000件以上のドメインが乗っ取られていたと判明。実際の被害件数はこれよりはるかに多いと推定している。

大手ブランド、自治体も被害　対策は？

　乗っ取られたドメインには大手ブランド多数が含まれていた他、スモールビジネスや個人、自治体のものもあった。レジストラ側で自動更新を設定していても、DNSプロバイダーやホスティングサービス側が更新していないことも多い。そうした期限切れのDNSが悪用されたり、正規のドメイン所有者がレジストラでネームサーバ情報を入力した際のタイプミスが利用されたりしていた。

　悪用しているのは主にロシアのサイバー犯罪集団といわれている。攻撃者は偽のWebサイトを開設し、乗っ取ったドメインの設定を操作して偽サイトに誘導する手口で、フィッシング詐欺やなりすまし、迷惑メール、マルウェア攻撃などに利用していた。ポルノや出会い系などのコンテンツを表示したり、Facebook広告を通じた投資詐欺に利用したりする手口も見つかっているという。

　Infobloxは「Sitting Ducks攻撃は防ぐことが可能だ」と注意喚起。ドメインの所有者に対しては、サービスプロバイダーに委任したドメインやサブドメインが期限切れになるなどして無効になっていないかを確認するとともに、DNSプロバイダーがこの攻撃への対策を講じているかどうかチェックするよう呼びかけている。