ドメイン・テイクオーバーとは|サイバーセキュリティ.com

ドメイン・テイクオーバー|サイバーセキュリティ.com

ドメイン・テイクオーバー

ドメイン・テイクオーバー(Domain Takeover)は、失効したサブドメインや設定ミスを利用して、不正にドメインやサブドメインを乗っ取るサイバー攻撃手法です。通常、企業や組織が所有するドメイン内に存在するサブドメインが、DNS設定ミスやサービス終了などにより無効な状態(「オーケストレーションされていない」状態)になっている場合に発生します。攻撃者はこのような状況を利用して無効化されたサブドメインに自分のサーバーやコンテンツを紐づけ、マルウェアの配布やフィッシング詐欺、偽情報の拡散などに悪用します。

企業や組織にとっては、公式ドメインやサブドメインが不正利用されることで、ブランドイメージの低下やユーザーへの被害が拡大する可能性があります。

ドメイン・テイクオーバーの仕組み

ドメイン・テイクオーバーが発生する代表的な流れは以下のとおりです。

  1. 無効なサブドメインを確認
    組織が管理するドメイン内のサブドメインが、DNSに登録されているにもかかわらず、関連付けられたサービスが無効になっている状態を攻撃者が確認します。これは、過去に使用されていたWebホスティングやクラウドサービスが削除されている場合などに発生します。
  2. 攻撃者がサービスを再取得
    攻撃者は無効化されているサブドメインが利用していたサービス(例: クラウドホスティングやCDNなど)を確認し、自分のアカウントで再取得して、そのサービスに対してサブドメインを紐づけます。
  3. DNS設定を悪用
    DNSレコードがサブドメインを指しているため、攻撃者のサーバーやコンテンツが正規ドメインの一部として表示されます。ユーザーは不正なページを正規のサイトと勘違いしてアクセスする可能性があり、ここで攻撃者はフィッシングサイトの設置やマルウェアの配布を行います。
  4. ユーザーの被害拡大
    テイクオーバーされたサブドメインは正規のドメインに見えるため、ユーザーはこれを信頼してアクセスしやすく、個人情報の窃取や悪意のあるリンクのクリックなど被害が広がります。

ドメイン・テイクオーバーの目的とリスク

ドメイン・テイクオーバーは、主に次の目的で悪用されることが多いです。

  • フィッシング詐欺
    テイクオーバーされたサブドメイン上に偽のログインページを設置し、ユーザーのIDやパスワードを盗み取ります。正規ドメインに紐づいたURLであるため、ユーザーが安心してアクセスしてしまう危険があります。
  • マルウェア配布
    悪意あるプログラムやマルウェアをユーザーにダウンロードさせ、感染を広げます。企業サイト内にある正規のサブドメインを偽装することで、ユーザーは悪意に気づきにくくなります。
  • 偽情報の拡散
    企業やブランドの正規サイトと誤認させた上で、偽情報を広め、企業の信用を低下させます。特に、SNSやメールなどで正規ドメインとして宣伝されることがあり、社会的な混乱を引き起こすリスクもあります。
  • ブランドイメージの低下
    正規のサブドメインが乗っ取られた場合、ユーザーが不正サイトにアクセスすることで、企業やブランドのイメージが損なわれることがあります。ユーザーが被害を受けた場合、企業の信用失墜に直結します。

ドメイン・テイクオーバーに対する防御策

  1. DNSレコードの定期確認
    管理しているサブドメインやDNSレコードを定期的に確認し、無効なサブドメインや不要なDNS設定がないかチェックします。不要になったDNSレコードは速やかに削除することで、乗っ取りのリスクを回避できます。
  2. サードパーティサービスの管理
    サードパーティのホスティングやクラウドサービスに関連付けたサブドメインが、サービス停止後もDNSレコードに残っているケースが多いため、サードパーティサービスを終了する際は、そのサブドメインやDNSレコードも同時に削除することが重要です。
  3. セキュリティ監査の実施
    定期的なセキュリティ監査を行い、DNSやサブドメインの脆弱性がないかチェックします。また、セキュリティチームと連携して、不審なサブドメインの増加やアクセス状況に注視することが効果的です。
  4. ドメインとサブドメインの使用ポリシーの策定
    組織内でドメインとサブドメインの利用に関するポリシーを定め、使用していないサブドメインやサービスの整理を定期的に行う習慣をつけます。これにより、不要なDNSレコードが残るリスクが低下します。
  5. ブランドモニタリングの活用
    ブランドモニタリングやThreat Intelligence(脅威インテリジェンス)サービスを活用し、自社のドメインやサブドメインが悪用されていないか監視することも有効です。第三者機関のサポートにより、リスクの早期発見と対策が可能になります。

まとめ

ドメイン・テイクオーバーは、サブドメインやDNS設定の管理が不十分である場合に発生するリスクであり、攻撃者が正規のサブドメインを悪用してフィッシングやマルウェア配布を行う危険な手法です。被害を防ぐためには、DNS設定の管理や不要なサブドメインの削除、セキュリティ監査などの対策が重要です。また、サードパーティのサービス終了時にDNSの整理を徹底することで、ドメイン・テイクオーバーのリスクを軽減できます。組織はドメインのセキュリティ対策を強化し、ブランドイメージとユーザーの安全を守るために努めることが必要です。


SNSでもご購読できます。