DNSに関連するサイバー攻撃が相次いでいる。2020年に入ってから、大手企業のドメイン名を使って詐欺サイトに誘導する攻撃や、仮想通貨交換所宛てのメールを盗聴する攻撃が見つかった。企業のサーバーを改ざんされるなどの被害に遭っていない。攻撃者が目を付けたのはDNSサーバーのレコードだ。どのような手口だろうか。攻撃の流れを見ていこう。

使われていないレコードを悪用

 まずは大手企業のドメイン名を使った詐欺サイトが2020年に100件近く見つかった事例を取り上げる。ユーザーが検索サイトから大手企業のWebサイトにアクセスすると、人気のスマホに当選したという嘘の内容が表示される。個人情報の詐取を狙った攻撃だ。

 使われた攻撃手法は「サブドメインテイクオーバー」とみられる。企業の担当者がクラウドサービスやCDNサービスを利用するときには、クラウドサービスのドメイン名を自社のサブドメインとして、CNAMEレコードを使って権威DNSサーバーに追加する。こうすると利用するクラウドサービスを自社のサブドメインとしてアクセスできるようになる。

CNAMEを使って別のサイトに誘導する「サブドメインテイクオーバー」
[画像のクリックで拡大表示]

 サービスの利用を終えて解約した後に、そのCNAMEレコードを残したままにするとサブドメインテイクオーバーの被害に遭う可能性がある。攻撃者は使用されていないCNAMEレコードを見つけて、企業が割り当てられたドメイン名と同じドメイン名になるようにクラウドサービスと契約する。この状態で企業のサブドメインにアクセスすると、攻撃者が設置したWebサイトに誘導される。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。