6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が

Over 60,000 parked domains were vulnerable to AWS hijacking

2021/09/03 BleepingComputer — ドメイン・レジストラの MarkMonitor は、60,000件以上のパークドメインをハイジャックに対して脆弱な状態にしていた。Clarivate 傘下となった MarkMonitor は、世界のトップ・ブランドと、それを利用する何十億もの人々の、オンライン・プレゼンスの確立/保護を支援するドメイン管理会社である。そこにパークされたドメインは、存在しない Amazon S3 バケットのアドレスを指していることが確認されており、ドメイン乗っ取りの弱点が存在することを示唆している。

800 のルート・ドメインが乗っ取れてしまった

今週のこと、セキュリティ・エンジニアであり、バグバウンティ・ハンターでもある Ian Carroll は、さまざまな組織に属する何百ものドメインに、ドメイン・ハイジャックの脆弱性があることを、自身の自動化スクリプトが示しているのを確認した。その後、Ian Carroll は Nagli と d0xing と共同で、セキュリティ上の弱点の原因を突き止めた。これらのドメインは、すべて同じレジストラである MarkMonitor を使用していたのだ。

ドメイン・テイクオーバーとは、権利や所有権のないドメインに対して、第三者が自分の好きなコンテンツを提供できることを指す。たとえば、ドメイン名の DNS エントリが、コンテンツを提供していないホストを指す CNAME (Canonical Name) になっている場合などに、このような事象が起こり得る。一般的には、Web サイトが公開前の場合や、バーチャル・ホストがホスティング・プロバイダーから削除されたにもかかわらず、そのドメインの DNS レコードがホストを指し続けている場合に起こってしまう。

このような状況で、そのドメインにアクセスしようとすると、404 (not found) というエラー・メッセージが表示され、ドメイン乗っ取りの弱点が浮かび上がる可能性がある。攻撃者は、脆弱なドメインを乗っ取ることができる。つまり、そのドメインがぶら下がっている DNS エントリが指している場所で、自分のコンテンツを提供し始めることが可能になるのだ。

Ian Carroll は、「testing.example.com が Amazon S3 を指している場合、そのバケットがまだ作成されていなければ、S3 は何をするだろうか? S3は 404 エラーを出して、誰かがリクエストするのを待つだけだ。もし、example.com のオーナーよりも先に、S3 の中で、このドメインを主張すれば、それを S3 で使用し、好きなものをアップロードする権利を主張できる」と述べている。Ian Carroll は、他の研究者と共に、研究の一環として実験を行い、800以上のルート・ドメインを乗っ取ることができた。

60,000以上のドメインに影響を与える問題は1時間で収束した

Carroll は MarkMonitor のセキュリティ担当にメールを送ったが、この研究者への返信はなかった。しかし、S3 の bucket not found エラーが発生していたドメインが、適切な MarkMonitor のランディング・ページを、徐々に表示するようになったことに気づいたという。Carroll は、「security@markmonitor.com へのメールは無視されたが、そのドメインから S3 を指すのは、1時間ほどで消えていった。私は、この時間帯に 800件以上のルート・ドメインが乗っ取れたと主張したが、他の研究者たちの同じくらいのドメインが得られたと主張していた」と述べている。

Carroll が懸念していたのは、MarkMonitorに登録されている 62,000件ものドメインが乗っ取られ、フィッシングに悪用される可能性についてだ。たとえば、情報収集サービスの SecurityTrail sを利用して、google.ar や coinbase.ca などの有名ブランドのドメインが特定され、それらが乗っ取られた場合には、フィッシングの候補になる。

BleepingComputer では、Amazon と MarkMonitor の両社に問い合わせを行い、MarkMonitor の親会社である Clarivate から回答を得た。Clarivate のスポークスマンは BleepingComputer に対して、「パーキング・ページのクラウドへの移行を計画していた際に、MarkMonitor のパーキングページサービスを利用しているドメインに対して、DDoS 対策ベンダーが予期せぬ方法で、一時的にトラフィックをルーティングした」と述べている。

彼は、「ライブド・メインや DNS には影響がなかった。当社は、パーキング・ドメインを含む、当社に委託されたドメインの保護を非常に重要視しており、最高のセキュリティプラクティスとガイドラインに従うために、日々努力している。たとえば、アクティブ/スタティック・スキャンや、継続的な DNS 監視、年1回のサードパーティによるペネトレーション・テスト、セキュリティ監査などを実施している」とは続けた。また、Clarivate は、バグバウンティ・プログラムの最終決定を行っている最中だという。

MarkMonitor によると、この予期せぬ動作が確認された時点で、同社は直ちに DDoS ベンダーの設定を元に戻し、内部でホスティングしている Web サーバーのパークページへと、トラフィックを向けるようにした。MarkMonitor によると、完全な検知/調査/修復が、1時間以内に完了したとのことだ。また、調査の結果として、このレジストラでは、パークページで悪意のあるコンテンツがホストされたという事例は確認されなかったという。

このようなドメイン乗っ取りの弱点から、企業を守る方式に関する質問に対して、「Amazon のようなクラウド・プロバイダーが、このようなドメインの乗っ取りを防止するようになるまで、DNS レコードなどでトラフィックを指定する際に、企業は注意する必要がある」と Carroll は述べている。

さらに、「この問題は、MarkMonitor だけの責任ではない。パーキングされたドメインの扱いには注意が必要だが、S3 バケットのクレームに厳しく対応しなかった AWS にも責任がある。たとえば、Google Cloud は、何年も前からドメインの確認を要求しており、この種の攻撃の意味がなくなっている」と、ブログ記事で述べている。

Amazon は、私たちのコメント要求に応じていない。その一方で、MarkMonitor は BleepingComputer に対して、このような問題を特定し警告するために、テストケースやポリシーを継続的に見直していると述べている。MarkMonitor の広報担当者は BleepingComputer への声明の中で、「当社のパーキング・サービスで、パーキングされているドメインからの HTTP エラー応答を、より迅速に通知するメカニズムも評価している。将来的には、予想外の動作をより迅速に特定し、対応できるようになるだろう」と述べている。

訳していて、ハラハラ・ドキドキで、なかなかおもしろい記事でした。Ian Carroll さんが、たんまりとバグバウンティを貰えるとイイですね。たいへんな働きであり、すばらしいコントリビューションです。それにしても、AWS と Google の違いが興味深いです。もちろん、AWS の方が優れているところもあるはずなので、両社を比較する話ではありませんが、メジャー・クラウドの間でも、共通認識に至らないところが、たくさん有ることが分かりました。

%d bloggers like this: