サイバーセキュリティ企業であるGuardioが実施した調査により、MSN, VMware, McAfee等を含む8,000以上の有名ブランドのドメインおよびサブドメインが、巧妙なスパム作戦である「SubdoMailing」によってハイジャックされていることが判明しました。これらのドメインは、信頼性の高い通信と見なされることを利用して、スパムメールやフィッシング攻撃に悪用されています。
ドメインがハイジャックされる理由
ドメインやサブドメインがハイジャックされる背景には、DNS設定の脆弱性やセキュリティの不備があります。特に、長期間放置されたサブドメインや、適切に管理されていないCNAMEレコードが攻撃者に狙われやすい状況を作り出しています。
「SubdoMailing(サブドメーリング)」攻撃のしくみ
「SubdoMailing」攻撃のしくみは、信頼されているドメイン名を利用してSPFやDKIMといった従来の電子メールセキュリティ対策を回避します。これにより攻撃者はスパムや悪意のあるコンテンツを、フィルターをすり抜けて受信者に送信することが可能になります。この手法は、特にフィッシング詐欺やクリック詐欺に利用され、攻撃者は不正な方法で収益を上げているようです。
CNAMEレコードの放棄: 例えば、marthastewart.msn.com のケースを見ると、このサブドメインはmsnmarthastewartsweeps.comにCNAMEレコードを通じてリンクされています。この場合、サブドメインはリンクされているドメインの全ての挙動を引き継ぎます。そのため、攻撃者がmsn.comやその承認されたメーラーからのメールとして、任意の宛先にメールを送信できるようになります。
SPFレコードの放棄: SPFレコードには関連サービスのドメインが含まれたまま放置されている場合があります。これらのドメインが解約された後、素早く取得することで、攻撃者はそのドメインのSPFレコードに自分のIPを容易に追加でき、承認されたメーラーからのメールとしてメールを送信する事が可能になります。例えば、有名な時計ブランド”www.swatch.com”もこの問題により攻撃者の攻撃に利用されたことが確認されています。このドメインのTXTレコードには長く複雑なSPF設定が含まれており、その中には”directtoaccess.com”という放棄されたドメインが含まれていました。このドメインはSPFレコード内でa:プレフィックスの下に含まれており、このドメインの全ての”A” レコード(ホスティングサーバーのIPアドレス)がメール送信を許可されています。
ドメインがハイジャックされたか確認するには?
ドメインがハイジャックされたかどうかはセキュリティ企業Guard.ioのウェブサイト上で確認することができます(https://guard.io/subdomailing)。その他にも以下のような方法でドメインの安全性を確認することが推奨されます。
1. DNSレコードの監視
DNSレコードの定期的なチェック: ドメインのDNSレコードを定期的に確認し、予期せぬ変更がないか監視します。特に、Aレコード、MXレコード、CNAMEレコードに注目し、これらが正しいIPアドレスやドメイン名を指しているかを確認してください。
2. SPF、DKIM、DMARCの確認
メール認証プロトコルの確認: 電子メールのセキュリティを強化するため、SPF (Sender Policy Framework)、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting & Conformance) の設定が正しく構成されているかを確認します。これらは、ドメイン名を騙ったスパムやフィッシング攻撃を防ぐのに役立ちます。
ソース(英語):https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935
