Guardio Labsは、何千ものサブドメインに影響を及ぼす、サブドメイン乗っ取りの深刻なケースに遭遇した。彼らはこの一連の攻撃を「SubdoMailing」という造語で表現し、悪意のある電子メールを送信するために有名企業の脅威となるサブドメインを使用しています。調査の結果、この悪質なキャンペーンは2022年以降も継続していることが判明した。
SubdoMailingは、認知度の高いサブドメインの信頼性を利用した、進化したソーシャル・エンジニアリング攻撃の一種と考えられます。攻撃者は、乗っ取ったサブドメインから何百万通ものフィッシングメールを送信することで、この悪質なキャンペーンを大規模に展開している。
サブドメイン・ハイジャックの説明
サブドメインハイジャックでは、攻撃者が正規のルートドメインに関連付けられたサブドメインを乗っ取り、様々な悪意のある活動の温床とします。乗っ取られたサブドメインは、フィッシング・キャンペーンの開始、不適切なコンテンツの流通、違法物質の販売、ランサムウェアの拡散などに利用されます。
多くの場合、非アクティブなサブドメインは長期間眠っている。さらに危険なのは、これらのサブドメインには ぶら下がったDNSレコードが残っているため、サブドメインの乗っ取りを許してしまうのだ。ひとたび攻撃者がこれらのサブドメインを支配下に置くと、彼らは多くの罪を逃れることができる!
複数のサブドメインを持つドメイン名を運用していると、背を向けてドアの鍵を開けっ放しにしてしまいがちです。企業であれ中小企業であれ、サブドメインの安全確保を怠ると、SubdoMailingやその他のサブドメイン悪用のような事件につながる可能性があります。
サブドメール攻撃はどのように行われるのか?
記事 Guardioの記事Guardioの記事によると、同社は、有名ブランドの何千もの一見正当なサブドメインから不審な電子メール・トラフィックを発見したという。この中には、MSN、VMware、McAfee、The Economist、Cornell University、CBS、Marvel、eBayなどの大企業が含まれていた!
これらの電子メールは、ユーザーを危険なリンクをクリックするように操作するために、緊急感を利用していた。これらのリンクは、ユーザーを有害な目的地へとリダイレクトさせた。それは、侵略的な広告から、機密情報を盗むことを目的としたより危険なフィッシング・サイトまで、多岐にわたった。
SubdoMailing の例
上に示した例は、Guardioが発見したSubdoMailingの典型的なケースである。侵害されたCash Appのサブドメインから発信された電子メールは、数百万人のユーザーの間で流通した。この電子メールには、Cash Appアカウントへの未決済資金の確認を求める警告メッセージが表示されていた。この電子メールには、潜在的に悪意のあるリダイレクトがいくつか含まれていました。
慎重に作られた悪意のある電子メールの添付ファイルやリンクを無視するのは非常に難しい。特に、早急な注意を促す警告メッセージが添付されている場合はなおさらだ。当然ながら、このような状況では、ユーザーがリンクをクリックし、サイバー攻撃の犠牲になってしまう可能性が非常に高い。
SubdoMailingの攻撃属性と特徴
SubdoMailing攻撃は、そのユニークな特徴から高い成功率が予測できる。Guardio社の説明によると、SubdoMailingは非常に巧妙な手口で、このような人気ブランド名の正規のサブドメインを操作する。これらの攻撃を検知するのは非常に難しく、Guardioのサイバーセキュリティ専門家による徹底的な調査が必要でした。
サブドメール攻撃の成功率が高い理由
私たちは、SubdoMailing攻撃には、以下のような特徴があるため、疑うことを知らないユーザーに深刻な被害を与える可能性があると考えています:
- 定評のある有名ブランドへのなりすまし
- 8000以上のドメインを操作し、大規模な運営を行っている。
- スパムフィルターの回避
- 信頼性の高い画像ベースのメッセージをキュレートすることで、Eメールのコンテンツフィルターを回避する
- 攻撃者はデバイスの種類と位置を分析し、より標的を絞った攻撃を仕掛ける
- 悪意のあるメールは メール認証SPF、DKIM、DMARCなどのメール認証チェックを通過した。
SubdoMailingフィッシングメールはどのようにしてメール認証チェックを回避するのか?
Guardioが調査したユースケースのひとつを例にとってみよう。Guardioは、msn.comの特定のサブドメインから発信された複数のフィッシング・メールを発見した。
Guardio社は、これらの悪意のある電子メールを詳しく調べたところ、ウクライナの都市キエフを拠点とするサーバーから送信されていることを発見した。理想的には、このようなメールは SPFチェックで不審と判定されるのが理想的だが、サーバーのIPアドレスが認証されていない限り、そのようなことはない。確認したところ、msn.comのサブドメインがこの不審なIPアドレスを認証していることが判明した。
これは、以下のいずれかの理由によるものである可能性がある:
- MSNの従業員が意図的にIPアドレスを許可してフィッシングメールを送信している内部脅威の可能性がある。
- タイプミスのために意図せずサーバーが認証されてしまったという、単純な人為的ミスの可能性もある
- MSNのサブドメインが外部の脅威によって乗っ取られ、サーバーに認証を与えるという、より高度なDNS操作の可能性がある。 MSNのサブドメインが外部の脅威によってハイジャックされ、サーバーを認証するために
msn.comサブドメインのSPFレコードをさらに調べると、Guardioの専門家は、このドメインの代理として電子メールの送信を許可されているIPアドレスが17826個もネストされていることを突き止めた。SPFレコードが非常に複雑に入り組んでいることから、認証フィルタを操作するために、非常に疑わしいが注意深く作成されたアプローチであることが示唆された。さらに重要なことは、このMSNのサブドメインがCNAME DNSレコードを介して別のドメインを指していたことである。したがって、攻撃者が他のドメインを購入すると、MSNのサブドメインを乗っ取ることが可能になった。
では、攻撃者はどのようにしてこれを達成したのだろうか?それを探ってみよう:
SubdoMailingのための非アクティブ/放棄されたサブドメインの使用法
Guardioはインターネット・アーカイブを使って、msn.comのサブドメインが実際にMSNによって主張されたものであるかどうかを深く調査した。その結果、このサブドメインは22年前に活動していたことが判明した。最近まで、20年以上も放置されていたのだ!
それでこうなった:
- ある脅威者が、サブドメインにリンクされていたドメインを購入した。リンクは22年後も存在していたため、彼らはドメインを乗っ取ることができた。
- 攻撃者はサブドメインのSPFレコードに自分たちのサーバーを登録し、認証されたフィッシング・メールをサブドメインに代わって送信できるようにした!攻撃者は、サブドメインのSPFレコードに自分のサーバーを認証し、サブドメインの代わりに認証されたフィッシング・メールを送信できるようにした。
- 彼らはこのチャンスを利用して、msn.comを装い、正規の送信者を装って何百万通もの詐欺メールを送信した。
SubdoMailingのSPFレコード操作
SubdoMailingの場合、ハイジャックされたサブドメインのSPFレコードは、いくつかの放棄されたドメインをホストしていた。これらのドメインはさらに、攻撃者が所有するSMTPサーバーを承認するために取得された。SPFポリシーの性質に従い、サブドメインはこれらの攻撃者が管理するサーバーすべてを正当なメール送信者として承認してしまう。
SPFを使用するのは、正当な送信者を認証するためです。これは、企業が外部の電子メールベンダーを使用して電子メールを送信する場合に非常に重要になります。また、ドメインに代わってメールを送信する不正な送信元を排除することもできます。この典型的なSPFレコード操作のケースでは、SPFを使用してメールを認証するという利点が悪用され、悪意のある送信者を認証していた。
Subdoメール攻撃の防止:企業は何ができるか?
SubdoMailingのような高度なサブドメインハイジャック攻撃には、事前の予防策が必要です。ここでは、その方法をご紹介します:
ダングリングDNSレコードの防止
設定が解除されたドメインや、使用されなくなったサーバーを指すDNSエントリは、SubdoMailingにつながる可能性があります。DNSレコードを定期的に更新し、古いソースを承認していないことを確認してください。DNSレコードでは、アクティブなドメインまたは自分が管理しているサーバーのみを指すようにしてください。また、メールベンダーが送信リストをクリーンな状態に保ち、使用されなくなったサーバーを削除していることを確認する必要があります。
メールチャネルのモニタリング
DMARCレポートを設定するだけでは不十分で、レポートを監視する必要があります。ドメイン所有者として、メール送信の慣行を常に意識する必要があります。大量のメールでは、専用のメールボックスを使ってもこれを実現するのは困難です。だからこそ、PowerDMARCのようなサードパーティーベンダーが必要なのです。PowerDMARCは、高度なフィルタリング機能を備えたクラウドベースのダッシュボードで、送信元とメールアクティビティを監視するお手伝いをします。サブドメインは当社のプラットフォーム上で自動検出されるため、サブドメインを常に監視することができます。これにより、疑わしい活動を即座に発見することができます!
サブドメインを管理する
これは、今すぐすべての送信元を再評価するための警鐘である。まずは SPFチェック無料ツールをご利用ください!
SPFステータスの「include」メカニズムを評価し、includeされているドメインとサブドメインを確認します。これらのドメインはSPFレコードをホストしており、ルートドメインに代わってメールを送信することを許可されたIPアドレスを持っています。使わなくなったサブドメインを見つけたら、"include "を削除しましょう。DNS編集ゾーンにアクセスして、必要な変更を行うことができます。
サイバー攻撃から身を守るためのその他のヒント
- CNAMEレコードが常に最新であることを確認し、使用しなくなったCNAMEレコードを無効にするか削除すること
- レコード内のSPFメカニズムが最新であることを確認し、使用しなくなった送信サービスを削除する。
- DMARCに準拠したメールを送信するように正規の送信元を設定し、DMARCポリシーでドメインとサブドメインを拒否するように設定します。
- パークドメインとサブドメインの保護
- 未使用のサブドメインとDNSレコードを削除する
- 所有するすべてのドメインのレポートを設定することで、ドメインやサブドメインから送信されたメールを継続的に確認できます。
PowerDMARCによるドメインの保護
PowerDMARC は、お客様のドメイン名を保護するお手伝いをいたします!PowerDMARCのプラットフォームは、ドメイン所有者の皆様が、可視化と監視を通じて、ご自身のドメインをコントロールできるように設計されています。私たちは、お客様のメール活動の内と外に関する詳細な情報を提示することで、お客様が送信元やメールトラフィックを追跡するお手伝いをします。これにより、ドメインのアクティビティにおける異常なパターン、ドメインになりすました悪意のあるIPの検出、さらにはブランド名になりすましたサーバーの地理的位置の発見に役立ちます。
ドメインセキュリティの旅を始めるには お問い合わせまでご連絡ください!
- Office 365でDMARCを設定するには?ステップバイステップガイド- 2024年5月6日
- SMTP Yahooエラーコードの説明- 2024年5月1日
- SPFソフトフェイルとハードフェイル:その違いとは?- 2024年4月26日