サブドメイン・テイクオーバー(Subdomain Takeover)とは、仕組みについて 前編

2020年7月までに国内外の大手企業を含むWebサイトが、「サブドメイン・テイクオーバー(Subdomain Takeover)」の被害にあう事例が多発しています。

今回は、サブドメイン・テイクオーバーの仕組みや、被害が広がった背景について詳しく解説していきます。

サブドメイン・テイクオーバーとは?

サブドメイン・テイクオーバー(Subdomain Takeover)とは、Webサイトのサブドメインが乗っ取られるセキュリティ被害のことをいいます。

テイクオーバー(takeover)とは日本語で「乗っ取り」のことを意味し、用語の言葉どおり悪意ある攻撃者が企業のサブドメインを乗っ取り、サイトにアクセスしたユーザーを詐欺サイトに誘導するといった攻撃手法が用いられます。

2020年7月までに、国内外の大手企業を含むWebサービスが、このサブドメイン・テークオーバーの被害を受けたことをリリースで発表。分かっているだけでも、すでに百数十件以上の大手サイトが乗っ取りの被害にあうなど、被害の拡大が懸念されています。

そもそもサブドメインとは?

ドメインとは、インターネットの住所にあたる部分です。GoogleのURLを例にすると、www.google.comの「google.com」がドメインにあたります。

サブドメインとは、このドメインの前のwwwの部分を好きな文字列に変更し、複数のサイトに分類して使用する方法のことです。

1社で複数のサブドメインを利用してサービスを提供することも多く、「shop.〇〇.com」「blog.〇〇.com」「news.〇〇.com」など、サイトの内容に応じてサブドメインを設定し、ブランドの統一を図るといった手法が採用されています。

サブドメインを設定するには、CNAMEレコード(※1)を管理画面から追加(名前とIPアドレスの指定)することで利用することが可能です。

※1:ドメイン名やホスト名の別名を定義するもの

使われていないサブドメインが攻撃の標的となった

さて、今回のサブドメイン・テイクオーバーの被害では、企業がすでに使わなくなったサブドメインが攻撃の標的となりました。

削除したと思っていたサブドメインでも、CNAMEレコードの設定部分まで削除されていなかった場合、別のサービスを介してアクセスできるということが判明。この仕様を利用すれば、誰でもサブドメインにアクセスすることができる状態となったため、悪意をもった攻撃者が、アクセスしたユーザーを詐欺サイトへ誘導するといった被害が続出してしまいました。

整理すると、

  1. サブドメインのサービスが終了した時に、管理者がCNAME設定を削除していなかった。
  2. 別サービスの仕様条件でサブドメインにアクセスできることが判明した。

という2つの条件が重なってしまったことで、今回の被害拡大に繋がったと推測できます。

まとめ

今回は、国内外のサービスで被害が報告されている、サブドメイン・テイクオーバー(Subdomain Takeover)の仕組みについて解説しました。

サブドメイン・テイクオーバーは、企業が使用しなくなったサブドメインを乗っ取り、詐欺サイトなどに誘導する攻撃手法をいいます。

ドメインの管理画面をハッキングされるといった直接的な攻撃ではないものの、まだ被害の全容が把握されておらず、今後被害が大規模なものになる可能性も予想されます。

次回の後編では、サブドメイン・テイクオーバーの影響範囲についてご紹介します。