サブドメインの乗っ取りが増加：クラウド台頭によりエスカレートしている

Subdomain takeover attacks on the rise and harder to monitor

2022/03/29 HelpNetSecurity — Detectify の調査によると、サブドメインの乗っ取りが増加傾向にあるが、現時点において、それらのドメインには多くの脆弱性があり、また、監視が難しくなっていることが判明した。Detectify は、2021年と 2020年の比較において、顧客の Web 資産の脆弱性が 25% 増となり、ドメインあたりの脆弱性数の中央値は２倍になったとしている。そして、組織のサイバー・セキュリティ・プログラムに対して、EASM (External Attack Surface Monitoring) ツールが提供する有用性が実証されたと述べている。

現代のインフラは DNS により制御され、内部およびサードパーティーのサービスへのポインタを有している。その結果として、組織は攻撃対象領域を拡大することになり、潜在的なサイバー脅威を招き入れることになる。未知のサブドメインは、厳格に監視されているわけではないので、問題の発見が困難な場合がある。サブドメインを指すサービスの有効期限の失効などが生じると、攻撃者による機密情報を窃取や、フィッシング詐欺の侵入口となる可能性が生じる。

これまでの１年間の調査では、攻撃対象が拡大するにつれて、サブドメインの乗っ取りが増加するという、最近の傾向が明らかになった。ドメインの乗っ取りは、攻撃対象が増加するにつれて、20% のスピードで増加している。2020年から2021年にかけてスキャンした APEX ドメインとサブドメインでは、脆弱性が 25% も増加したことも判明した。

サブドメインの乗っ取りとドメインごとの脆弱性は増加傾向

背景：サブドメインとは何か？ なぜ重要なのか？

DNS の構造上、ドメインに追加されるサブドメインは、大きな部分となる。たとえば、blog.acme.com と helpdesk.acme.com はサブドメインであり、acme.com は APEX ドメインとなる。サブドメインの乗っ取りは、ターゲット・ドメインのサブドメインを、脅威アクターが支配するときに発生する。

それは、サブドメインの DNS に正規名が含まれているが、そのコンテンツを提供しているホストが存在しない場合に、発生する可能性がある。つまり、仮想ホストが未公開の場合や、仮想ホストが削除されている場合に発生する。

サブドメインの乗っ取りは、攻撃者がターゲットのネームサーバー・レコードを侵害する DNSハイジャックによっても行われることがある。攻撃者は、DNS の設定ミスを利用して、ターゲットの Web サイトから信頼されているとみなされるサブドメインを乗っ取ることができる。この方法はあまり一般的ではないが、後者の場合、深刻度は通常よりはるかに高くなる。

サブドメインの乗っ取りは、攻撃者がターゲットのネームサーバー・レコードを侵害する、DNS ハイジャックにより発生する。また、DNS の設定ミスを悪用した攻撃者が、標的となる Web サイトにより信頼されていると見なされる、サブドメインを乗っ取るケースもある。 後者は、あまり一般的ではないが、深刻度が遥かに高くなる。

ミティゲーション

サブドメインの乗っ取りは、広く知られた脆弱性だが、依然として過小評価されている。クラウド・ソリューションの台頭により、この問題が、さらにエスカレートしていることは確かである。攻撃者は、より洗練された方法で、エンタープライズへの侵入を試みており、適切な監視システムがなければ、それらを監視することは困難だ。唯一の方法は、作成した全サブドメインのインベントリーを保持し、EASM (External Attack Surface Monitoring) ツールの導入により、潜在的なバグを継続的にスキャン／監視することだ。

Detectify の CEO である Rickard Carlsson は、「DNS がインフラの中心となり、攻撃対象が拡大し、サブドメイン乗っ取りの脆弱性が増加することが予想される。サブドメイン乗っ取り攻撃は、2014年にセキュリティ研究者たちにより、そのコンセプトが初めて紹介されて以来、ずっと複雑になってきている。私たちのデータによると、より高度なソフトウェア・サービスに登場し始めたことで、その制御は難しくなっている」と述べている。

サブドメインの乗っ取りという話ですが、どこかに似たような記事があったと思い、探してみたら 2021年9月の「６万以上のパークドメインに危機：レジストラだけではなく AWS にも問題が」という記事が見つかりました。そこには、「ドメイン・テイクオーバーとは、権利や所有権のないドメインに対して、第三者が自分の好きなコンテンツを提供できることを指す。たとえば、ドメイン名の DNS エントリが、コンテンツを提供していないホストを指す CNAME (Canonical Name) になっている場合などに、このような事象が起こり得る」と記されています。よろしければ、ご参照ください。