セキュリティベンダーのInfobloxは7月31日(米国時間)、「Who Knew? Domain Hijacking is So Easy|Infoblox」において、ロシア系サイバー犯罪者12名以上が「シッティングダックス(Sitting Ducks)」と呼ばれるドメインハイジャック攻撃を実施しているとして注意を喚起した。Infobloxの研究者は標的になりうるドメインが100万件以上存在するとしている。

  • Who Knew? Domain Hijacking is So Easy|Infoblox

    Who Knew? Domain Hijacking is So Easy|Infoblox

シッティングダックス攻撃とは

シッティングダックス攻撃は、Matt Bryant氏が、The Hacker Blogに2016年に寄稿した記事「The Orphaned Internet – Taking Over 120K Domains via a DNS Vulnerability in AWS, Google Cloud, Rackspace and Digital Ocean – The Hacker Blog」により、初めて文書化された。2018年以降、3万5,000件以上のドメインがハイジャックされたと推測されている。

Infobloxによると、この攻撃手法には次の特徴があるとされる。

  • 簡単に実行できる
  • ほぼ認知されていない
  • 検出困難
  • 予防可能

シッティングダックス攻撃は複数のバリエーションが存在し、通常は、次の条件を満たしたときに実行可能とされる。

  • ドメインまはたサブドメインの名前解決を、登録したドメインレジストラーとは異なる権威サーバ(レンタルサーバなど)に委任している
  • 権威サーバとの契約を完了するが、ドメインまたはサブドメインの権利は維持する

この状態のドメインに対し、攻撃者は権威サーバにドメインを所有していると偽のアカウントを作成する。権威サーバが申請者とドメインの所有者の同一性を確認しない場合、ドメインハイジャックに成功する。

  • シッティングダックス攻撃の手順例 - 引用:Infoblox

    シッティングダックス攻撃の手順例 引用:Infoblox

影響と対策

Infobloxの調査によると、最も多くシッティングダックス攻撃を実行している脅威アクターはロシアのサイバー犯罪者とされ、毎日数百のドメインを乗っ取っているという。また、企業は自社ドメインを保護する目的でトップレベルドメイン(TLD: top-level domain)の異なる類似ドメインを登録することがあるが、これらブランド保護ドメインからもハイジャックされたドメインが発見されている。

権威サーバは民間企業が運営していることが多く、安全性(管理、維持、権利確認)はその企業の能力に依存する。そのため、企業には将来的なドメインハイジャックの可能性も考慮してプロバイダーを選択することが望まれる。

Infobloxは被害を受けやすいドメインの条件と、被害を防止する手法をドメインレジストラー、権威サーバ向けにそれぞれ解説している。また、ドメインを登録している企業に対し、シッティングダックス攻撃を防止する取り組みを実施しているプロバイダーとのみ契約することを推奨している。