サブドメインテイクオーバーにご注意を
2025-02-22
サブドメインテイクオーバーとは
サブドメインテイクオーバーとは、企業や個人が管理するサブドメインが適切に設定・管理されていない場合に、攻撃者がそのサブドメインを乗っ取る攻撃手法のことです。
主に、削除されたクラウドサービスやDNSレコードの設定ミスを悪用して、不正なコンテンツのホスティングやフィッシング詐欺に利用されることがあります。
example
企業が blog.example.com というサブドメインを外部のホスティングサービス(GitHub Pages、Amazon S3 など)で運用していたが、そのサービスの利用をやめたとします。しかし、DNSレコードが残ったままだと、攻撃者がそのサービス上に blog.example.com を再登録し、悪意のあるサイトを公開することが可能になります。
攻撃者の手法
攻撃者は以下の手順でサブドメインテイクオーバーを試みます。
脆弱なサブドメインを探索
digやhostコマンドを使って、設定されたサブドメインを特定- ホスティングサービスに向けられたCNAMEレコードを調査
クラウドサービスの利用状況を確認
- CNAMEレコードに登録されているサーバーが稼働しているかを確認
悪意のあるコンテンツをホスティング
- 取得したサブドメインにマルウェアを仕込んで個人情報情報を収集
イメージ
対策
サブドメインテイクオーバーを防ぐためには、以下の対策を講じることが重要です。
1. 使っていないサブドメインのDNSレコードを削除
不要になったサービスのDNSレコードは速やかに削除し、攻撃者が悪用できる余地をなくします。
2. CNAME設定の管理を徹底
- 外部サービスを利用する際は、そのサービスの利用をやめる場合にCNAMEレコードも削除することを確認
- 設定したサブドメインの所有権が維持されているか定期的にチェック
3. クラウドサービスの利用状況を監視
- 使用しているクラウドサービスが突然停止したり、設定が変更されたりしないか定期的に確認
- 必要に応じて、カスタムドメインのバインディングを確保できるオプションを利用
4. DNSの監視とアラート設定
- 監視ツールを導入し、DNSレコードの変更をリアルタイムで検知
- 企業向けには、セキュリティチームがDNSの変更履歴を管理する仕組みを作ることが推奨
5. WAF(Web Application Firewall)やセキュリティポリシーの適用
- 不審な通信を検知・遮断するために、WAFやアクセス制御ポリシーを適切に設定
- サブドメインの利用状況に応じて、適切なルールを適用
まとめ
サブドメインテイクオーバーは、DNS設定の管理が不適切な場合に発生するリスクです。
適切なDNS管理とクラウドサービスの利用状況の監視を徹底することで、このリスクを大幅に低減できます。