DNSへのサイバー攻撃:ドメインハイジャックの新たな脅威
近年、インターネットを利用する企業や個人がDNS(Domain Name System)を悪用したサイバー攻撃の脅威に直面しています。Infobloxの調査レポートを基に、「Sitting Ducks攻撃」や「Vacant Viper」「Horrid Hawk」などの攻撃者によるドメインハイジャックの手法と対策について解説します。
目次
Sitting Ducks攻撃とは
Sitting Ducks攻撃とは、DNS設定のミスを悪用してドメインを完全に乗っ取る攻撃手法です。被害者のDNS構成が不十分な場合、攻撃者は正規のドメイン登録情報を持たずともDNS記録を操作し、ドメインやそのサブドメインを悪用します。
この攻撃は、サブドメインが忘れ去られているケースで特に顕著に発生しており、被害は長期間にわたり気付かれないまま進行します。
EclypsiumとInfobloxは、2018年以降、このSitting Ducks攻撃の一環としてこの脆弱性が悪用され、約35,000のドメインが乗っ取られたと発表しました。
DNS乗っ取り攻撃の被害事例
InfobloxがVacant Viperとして追跡している 404 TDS(トラフィック分散システム)を運営するサイバー犯罪グループをはじめ、Sitting Ducks攻撃を仕掛ける12人以上の独立した行為者を特定しました。
以下は脅威アクターとその攻撃事例です
1. Vacant Viperとマクドナルドの事例
Vacant Viperという攻撃グループは、マクドナルドの公式ドメイン「mcpennsylvania[.]com」を乗っ取りました。
このドメインは、公式な登録機関(CSC Corporate Domains)に正しく登録されていたにもかかわらず、DNS設定の脆弱性を突かれて悪用されました。さらに過去数年間にわたりVacant Viperによって繰り返しハイジャックされており、本稿執筆時点では「レイムデリゲーション」(無効なネームサーバー設定)状態になっています。
最近では、このマクドナルドのドメインがncbtv[.]com
にリダイレクトされていることが確認されました。
このドメインは、もともと2011年に中国のメールアドレスで登録されたIPTVサービスプロバイダーによって運営されていましたが、現在はプライベート登録下にあり、「Sitting Ducks攻撃」によって複数回ハイジャックされた可能性があり、初期の攻撃は2017年にまでさかのぼると考えられます。
攻撃の流れ
- 攻撃者が脆弱なDNS設定を発見。
- ドメインを乗っ取り、悪意のあるサーバーにリダイレクトを設定。
- 被害者が正規のマクドナルド関連サイトを訪問した際、詐欺ページやマルウェア配布サイトに誘導された。
具体的には、このドメインを利用してAsyncRATというマルウェアを拡散するチェーン攻撃が行われました。
URLをリダイレクトする巧妙な手法により、ユーザーのデバイスに不正プログラムがインストールされました。
2. Horrid Hawkと偽投資詐欺キャンペーン
Horrid Hawkという攻撃者グループは、ポーランドを中心に高齢者を標的とした投資詐欺を展開しました。この攻撃では、「Baltic Pipe」という架空の政府支援プロジェクトを宣伝し、信頼性を装うために乗っ取ったドメインを利用しました。
攻撃の特徴
- Facebook広告を通じて、ユーザーを詐欺サイトに誘導。
- ドメイン「agbizwichita[.]org」をTDS(トラフィック配信システム)の一部として利用。
- 詐欺サイトで個人情報(名前、メールアドレス、電話番号)を収集。
この詐欺サイトは、被害者に「政府補助で利益を得られる」と信じ込ませるもので、特に55歳以上の高齢者が対象でした。
3. Hasty HawkとDHL偽装サイト
Hasty Hawkは、世界的な物流企業DHLの荷物追跡ページを模倣したフィッシングサイトを多数展開しています。攻撃者は「dhl.<ランダムな数字>.<乗っ取ったドメイン>」の形式でURLを生成し、ユーザーを偽のDHLサイトに誘導しました。
典型的な事例
- ドメイン「thebagshelf[.]com」が乗っ取られ、DHLの偽装配送追跡ページがホスティングされました。
- ユーザーがフィッシングサイトにアクセスすると、個人情報の入力を求められたり、不正なダウンロードが開始されました。
ドメイン乗っ取りの原因
ドメイン レジストラでの構成が不適切で、DNS プロバイダーでの予防措置が不十分な場合、ネーム サーバーの委任、不十分な委任、悪用可能な DNS プロバイダーなど、Sitting Ducks のさまざまな亜種が発生する可能性があります。
1. DNS設定のミス
多くのケースで問題となっているのは「lame delegation(ラメデリゲーション)」と呼ばれるDNS設定の不備です。これは、ドメインの権威ネームサーバーが適切に設定されていない状態を指し、以下の状況が原因で発生します
- 古いドメイン設定が更新されない。
- 組織内でドメイン管理の知識やアクセス権が失われる。
攻撃者は、こうした脆弱なドメインを識別し、DNSプロバイダーを利用して不正なDNS記録を設定します。
2. 登録機関とDNSプロバイダーの脆弱性
一部のDNSプロバイダーでは、登録者情報を確認せずにDNS記録の変更を許可してしまうケースがあります。この結果、攻撃者が簡単にドメインを乗っ取り、以下を行えます:
- 正規のドメインオーナーの権限を奪う。
- 詐欺行為やマルウェア拡散の拠点として悪用する。
3. 古いドメインの放置
特に企業の合併や人事異動により、管理が放置されたドメインが攻撃者の標的になります。
これらの「忘れられたドメイン」は、セキュリティ更新が行われず、脆弱性が残ったままです。