放置した設定が引き起こす「サブドメインテイクオーバー」を知る

インターネット検索することを「ググる」と呼ぶようになって久しい昨今ですが、検索エンジンの評価アルゴリズムとSEO施策はいたちごっこを続けており、われわれユーザーは汚染された検索結果から価値のあるコンテンツを見つけるのに苦労しているのが実情です。

 記事タイトルだけで有用か否かを判断できないまま、あまり期待せずにヒットしたページを閲覧したところ、なんと最新のiPhoneをもらえるという通知が出てきました。

 言うまでもなく、これは「当選詐欺」。クリックするとFacebookなどのSNSとの「連携」を求め、IDとパスワードを抜いてスパム送信などに悪用するものです。もちろんiPhoneはもらえません。何人かの知人がこの詐欺に引っかかってしまい「私からメッセージが送られてきても無視してください!」という注意を投稿していました。当選詐欺に関しては、トレンドマイクロやTwitter、Facebookなどが対処方法を発信しています。

●裏にあるのは「放置ブログ」?

 今回、当選詐欺が表示されたのは、かつて個人が公開していたブログ記事でした。検索結果に表示された更新日が古かったため、既にブログ自体が消滅していた可能性があります。それでは、詐欺ページが表示されたのはなぜでしょうか。考えられるのは「サブドメインテイクオーバー」攻撃です。

 この攻撃について簡単に解説しましょう。ドメイン名とサーバーのIPアドレスは「DNS」という仕組みで変換を行っています。これがあるため、私たちはIPアドレスという数字の羅列ではなく、分かりやすいドメイン名で目的のコンテンツにアクセスできるようになっています。このDNS設定では、あるドメイン名に別名を付ける「CNAMEレコード」を設定できます。この設定が、問題の温床になります。

 CNAMEレコードの設定は、Webサイトの表示を高速化するキャッシュサービス「CDN」を利用する際に実施します。ただしCNAMEレコードを設定した後にCDNとの契約を解約して、CNAMEレコードの設定を放置していると、第三者が無関係のサーバを正規ドメインで運用しているかのように見せて、乗っ取ることができます。

 DNSの仕組みをよく分かっていないと、乗っ取りのプロセスを理解するのは難しいかもしれません。しかし乗っ取り犯の狙いや被害の根本的な原因は、なんとなく分かっていただけるでしょう。なお、当選詐欺の全てがサブドメインテイクオーバーによるものというわけではありません。「JPCERT/CC インシデント報告対応レポート [2020年4月1日~2020年6月30日]」では、不正なJavaScriptの挿入をきっかけとした事例が紹介されています。

●自分のサイトで攻撃に加担しないために

 個人ブログでのCDNの利用は、「Wordpress」などのCMSに関するハウツー記事の中でも頻出のものです。多くの場合、少しでもブログを高速化して検索エンジンの評価を上げるテクニックとして紹介されています。現在のインターネットには、トレンドブログやアフィリエイトブログを目指して収益化の夢破れ、放置されたブログが大量に転がっています。犯罪者がこれらに目を付け、同じく放置されたDNSのCNAMEレコードを乗っ取って、結果として多くの人をだますに至りました。

 以前からこういったブログは「検索エンジンの結果を汚染している」と指摘されてきましたが、さらに現在はフィッシング詐欺の温床になっているのです。犯罪の片棒を担がないために、個人ブログであってもしっかりしたメンテナンスが必要なのです。

 もし本稿をご覧になって「そういえば昔ブログを作って、CNAMEを設定したかもしれないな」と思い出した方がいましたら、すぐにでも対応をお願いします。また、企業のネットワークを管理している人は、自社が管理するDNS設定に不要なレコードが含まれていないか、見知らぬ設定が残されていないかなどを再度チェックし、DNSレコード更新のプロセスについても確かめておきましょう。DNSへの攻撃の有無を確認するだけでなく、悪意ある内部犯行者による改ざんを防ぐ効果もあるはずです。

 小さな企業の場合、Webサービスの管理などを「詳しい社員」に任せきりにしていることもあるでしょう。もしかしたらその人は、ブログ記事を読んでCDNを利用する設定を善意で実施していたかもしれません。今回の一件は「インターネットに公開しているサーバーを持つ」全ての人が関係します。個人としても法人としても他人事と考えず、できる対処を考えてみてください。

タイトルとURLをコピーしました