【転載】Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた

Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた:

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。

何が起きてるの？

誘導される詐欺サイトの一例

大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。
各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。

どう対応すればよい？

不要なCNAMEレコードを削除する。

影響範囲は？

正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認（2020年7月7日時点）。既に対応されたものを含め、日本の上場企業のドメイン名でも今回の被害を確認している。
影響を受けたドメイン名においてサブドメインに使用される文字列から、開発(dev)やテスト(test)、デモ(demo)等の一時的な利用目的だった可能性がある。

影響を受けたドメイン名は「近日公開」とトップページに掲載されていた f:id:piyokango:20200708023525p:plain

同じ構成のページが検索に複数表示される状況

自組織が影響を受けた（受ける）か確認するには？

自組織のドメイン名において、CDN等の外部のサービス（今回のケースではMicrosoft Azureが確認されている）を定義したCNAMEレコードが存在するかを確認する。
該当のCNAMEレコードが存在する場合、定義されたサービスが正常に稼働しているかを確認する。

Subdomain Takeoverって何？

今回確認されたSubdomain Takeoverのケース

Not foundとなったCNAMEレコードを対象に、自組織で管理するサブドメインが被害に遭う攻撃手法。
CDN等の外部サービスが定義されたCNAMEレコードにおいて、定義先のサービスを終了したにもかかわらずCNAMEレコードがそのままとなっている、かつ外部サービス側で使用されるドメイン名に第三者が任意のサブドメインを指定でき所有確認等が行われない場合、影響を受ける可能性がある。*1

【Subdomain Takeover】
①Webサイトを立ち上げ（一般的な運用）
- CDNを契約
- CDNへのCNAMEを、自分のドメイン名に設定

②Webサイトを終了
- CDNを終了
（この時点でCNAMEの参照先が削除、Not foundに）
- CDNへのCNAMEはそのまま
（削除の必要があると思ってない or 削除忘れ）

この状態で、
— Yasuhiro Morishita (@OrangeMorishita) 2020年7月7日

（承前）
③悪意を持つ第三者が、この状態のドメイン名を発見
- この状態のドメイン名は、Subdomain Takeoverに対して脆弱
④悪意を持つ第三者が、一般客として同じCDNを契約
- CNAMEの参照先と同じドメイン名のWebサイトを、CDN上に作成

→ Subdomain Takeoverが成立
— Yasuhiro Morishita (@OrangeMorishita) 2020年7月7日

確認されている被害は？

被害を受けたドメイン名の解決先が攻撃者が設置したAzure上のサーバーとなり、検索サイトから接続した場合、このサーバーよりリダイレクトされ最終的に詐欺サイトへ誘導される。
攻撃者のサーバー上には検索サイトに表示されることを目的にしたと推定される無数のランディングページが存在している。トップページにはsitemap.xmlが設置されており、ある被害を受けたドメイン名配下のsitemap.xmlでは3万件以上のURLが掲載されていた。

大量のランディングページが存在か

検索結果にも表示されるケースが確認されており、今回の事案の影響を受けたサイトに対してなりすまされた組織側が注意喚起を行っている。

更新履歴

2020年7月8日 AM 新規作成

*1:AWSのCloudfrontではSubdomain Takeover対策とみられる仕組みが導入されているとの情報がある

blog.b-son.net