使い終わったドメイン名が狙われている――DNSの設定ミスに付け込む攻撃「DNSテイクオーバー」とは

「DNSテイクオーバー」で発生するリスクと防御の考え方

　では、実際にどのような攻撃が行われているのであろうか。続くパート2で森下氏から、iPhone当選詐欺におけるおとりサイトの作成（図9、図10）と、ある県のLG.JPドメイン名を用いた著名なゲームの攻略サイトの偽サイトの作成が、サブドメインテイクオーバーのインシデント事例として紹介された（図11）。

図9　インシデント事例①：iPhone当選詐欺

図10　おとりサイトの作成にサブドメインテイクオーバーを利用

図11　インシデント事例②：偽サイトの作成

　悪意のある第三者にサブドメインテイクオーバーを成功されてしまうと、利用者が被害を受けるだけでなく、悪用されたドメイン名を登録している組織の評価が下がったり、最悪の場合、親ドメインのテイクダウンにつながったりしてしまう場合もあり得る。森下氏は、「使用していないサブドメインであっても、テイクオーバーされた際のリスクは高い」と述べ、具体例を示しながら注意を促した（図12）。もちろん、サブドメインテイクオーバーだけでなく、NSテイクオーバーにも注意が必要である（図13）。

図12　サブドメインテイクオーバーのリスク

図13　NSテイクオーバーにも注意が必要

　DNSデータは公開情報であるため、サブドメインテイクオーバーやNSテイクオーバーが可能な状態は、外部からのDNS検索で見つけることができる。DNS検索により攻撃対象を発見するためのツールはインターネット上で公開されており、誰でも利用できる（図14）。

図14　攻撃者は攻撃対象をどのように発見するのか？

　サブドメインテイクオーバーやNSテイクオーバーを防ぐ確実な方法は、外部サービスの利用終了時に、不要となるDNS設定を削除することである（図15）。また、前述した攻撃者が攻撃対象を見つける方法を自分が使うことで、管理している範囲に危険な設定が残っていないかを調べることもできる。つまり、前述したDangling recordsがないかをチェックし、削除することで、攻撃を未然に防ぐことができる（図16）。スライドでは、MicrosoftがAzure用に公開しているチェックツールも紹介されていた。

図15　サブドメインテイクオーバー・NSテイクオーバーの防止策（1/2）

図16　サブドメインテイクオーバー・NSテイクオーバーの防止策（2/2）