Squarespace への侵害:Google Domains から移行したドメインに甚大な被害が

Hackers Exploit Flaw in Squarespace Migration to Hijack Domains

2024/07/16 SecurityWeek — 先週のことだが、Squarespace に登録された複数のドメイン名がハッカーに侵害され、複数の暗号通貨プラットフォームが DNS レコード制御を取り戻すために、奔走する事態となっている。2023年に Squarespace が買収した、Google Domains からの移行ドメインを管理するアカウントに、この 7月9日に始まった侵害の影響は及んでいる。Squarespace は、Google から買収した約 1,000万件のドメイン名のユーザーを移行してきたが、その方式に潜んでいた欠陥を悪用するハッカーにアカウントが乗っ取られ、それらのドメインの DNS レコードが変更されるという事態に陥った。

Squarespace は、可能な限りシームレスな移行を行うために、Google Domains から全メール・アドレスを移行したと、Security Alliance は述べている。

さらに Squarespace は、Eメールをドメインに事前にリンクさせることで、すべてのドメインにユーザーが直ちにアクセスできるようにした。しかし、正規の電子メール所有者よりも先に、攻撃者がアカウントにサインアップする可能性について考慮されていなかった。

それに加えて Squarespace では、パスワードで保護されたアカウントを作成する際に、電子メールの検証を必要としない。そのため、攻撃者は Google Domains から移行されたドメインと伴に、移行された可能性のある電子メールアドレスを推測して、アカウントを作成できた。

それにより攻撃者は、Squarespace のアカウントを乗っ取り、そのアカウントに関連するメール・アドレスを検証されることなく、関連するドメインへのフルアクセスを獲得していた。

先日に発生した攻撃では、この欠陥が悪用され、Celer NetworkCompound FinancePendle FinanceUnstoppable Domains などの暗号プラットフォームを含む、12個のドメインが DNS ハイジャックの標的となった。

これらのドメインに関連する Squarespace アカウントにアクセスした攻撃者は、DNS レコードを変更して権限の昇格を試み、さらに、サイト訪問者を悪意のページにリダイレクトした可能性が高い。

この攻撃者は、乗っ取ったアカウントの権限に応じて、他の Squarespace アカウントや別のレジストラへのドメイン転送や、メール転送の設定、そして、新たなドメイン管理者の追加などを可能にしていた。

さらに、Squarespace は Google Workspace の販売代理店であるため、Google Domains からワークスペースが購入されている場合には、そのワークスペースは Squarespace に移行される。

先週のキャンペーンでは、この仕組みを悪用する攻撃者が、ドメイン用に新しい Google Workspace を作成し、ドメインに関連付けられた Google Workspace を乗っ取ることで、新しいアカウント/デバイス/ブラウザの追加や、データの同期/認証の無効化などを行った可能性がある。

Google Domains から Squarespace に移行された中には、数百の暗号通貨ドメインが存在し、数十億ドルの資産へのアクセスが制御されているため、このキャンペーンの潜在的な影響は悲惨なものだった可能性があると、Security Alliance は指摘している。

このインシデントによる影響を確認した各種の暗号プラットフォームは、アカウントのコントロールを取り戻し、さらなる悪意の活動の証拠は観測されていないと述べている。なお、7月15日の時点において Squarespace では、メールアドレスのみで新しいアカウントを作成することはできなくなっている。

Security Alliance はアドバイザリを公開し、Google Domains から Squarespace に移行した Web サイトの所有者やオーナーに対して、下記の対策を推奨している:

  • アカウントにログインして2要素認証を有効化する
  • 投稿者アカウントを確認して不要になったアカウントを削除する
  • Google Workspace で不正な変更があれば元に戻す
  • DNS レコードの変更を元に戻す
  • ドメイン設定における不審な点を確認する

ちょっと、ややこしい話なので、Wokipedia で Squarespace と Google Domains の関係を確認したところ、「2023年6月15日に Squarespace は、約 1,000万の登録ドメイン名を含む Google Domains 事業を買収する契約を締結した」と説明されていました。おそらく、この引っ越しに際して発生した欠陥が、脅威アクターたちに狙われたということなのでしょう。よろしければ、DNS で検索も、ご利用ください。