piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。

何が起きてるの?

f:id:piyokango:20200708011658p:plain
誘導される詐欺サイトの一例

  • 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。
  • 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。

どう対応すればよい?

  • 不要なCNAMEレコードを削除する。

影響範囲は?

  • 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認(2020年7月7日時点)。既に対応されたものを含め、日本の上場企業のドメイン名でも今回の被害を確認している。
  • 影響を受けたドメイン名においてサブドメインに使用される文字列から、開発(dev)やテスト(test)、デモ(demo)等の一時的な利用目的だった可能性がある。

f:id:piyokango:20200708012045p:plain
影響を受けたドメイン名は「近日公開」とトップページに掲載されていた
f:id:piyokango:20200708023525p:plain
同じ構成のページが検索に複数表示される状況

自組織が影響を受けた(受ける)か確認するには?

  1. 自組織のドメイン名において、CDN等の外部のサービス(今回のケースではMicrosoft Azureが確認されている)を定義したCNAMEレコードが存在するかを確認する。
  2. 該当のCNAMEレコードが存在する場合、定義されたサービスが正常に稼働しているかを確認する。

Subdomain Takeoverって何?

f:id:piyokango:20200708021053p:plain
今回確認されたSubdomain Takeoverのケース

  • Not foundとなったCNAMEレコードを対象に、自組織で管理するサブドメインが被害に遭う攻撃手法。
  • CDN等の外部サービスが定義されたCNAMEレコードにおいて、定義先のサービスを終了したにもかかわらずCNAMEレコードがそのままとなっている、かつ外部サービス側で使用されるドメイン名に第三者が任意のサブドメインを指定でき所有確認等が行われない場合、影響を受ける可能性がある。*1

確認されている被害は?

  • 被害を受けたドメイン名の解決先が攻撃者が設置したAzure上のサーバーとなり、検索サイトから接続した場合、このサーバーよりリダイレクトされ最終的に詐欺サイトへ誘導される。
  • 攻撃者のサーバー上には検索サイトに表示されることを目的にしたと推定される無数のランディングページが存在している。トップページにはsitemap.xmlが設置されており、ある被害を受けたドメイン名配下のsitemap.xmlでは3万件以上のURLが掲載されていた。

f:id:piyokango:20200708020807p:plain
大量のランディングページが存在か

関連情報

  • Subdomain Takeoverの影響は第三者にWebサイトが設置されるというだけでなく、稼働するサービスに影響が及ぶ可能性もある。最近では2020年4月に修正されたMicrosoft Teamsのアカウントハイジャックの脆弱性が有名。www.cyberark.com
  • 以下の方の情報を参考にさせていただきました。



diary.shift-js.info

更新履歴

  • 2020年7月8日 AM 新規作成