DNSに関連するサイバー攻撃やトラブルが相次いでいる。DNSの仕組みの弱点を突く攻撃がある一方、ドメイン名の登録者のうっかりミスを突かれるケースも多い。
使われていないレコードを悪用
まずは大手企業のドメイン名を使った詐欺サイトが2020年に100件近く見つかった事例を取り上げる。ユーザーが検索サイトから大手企業のWebサイトにアクセスすると、人気のスマホに当選したという嘘の内容が表示される。個人情報の詐取を狙った攻撃だ。
使われた攻撃手法は「サブドメインテイクオーバー」とみられる。企業の担当者がクラウドサービスやCDN▼サービスを利用するときには、クラウドサービスのドメイン名を自社のサブドメインとして、CNAMEレコードを使って権威DNSサーバーに追加する(図2-1)。こうすると利用するクラウドサービスを自社のサブドメインとしてアクセスできるようになる。
サービスの利用を終えて解約した後に、そのCNAMEレコードを残したままにするとサブドメインテイクオーバーの被害に遭う可能性がある。攻撃者は使用されていないCNAMEレコードを見つけて、企業が割り当てられたドメイン名と同じドメイン名になるようにクラウドサービスと契約する。この状態で企業のサブドメインにアクセスすると、攻撃者が設置したWebサイトに誘導される。
レジストラの脆弱性が狙われる
次は、仮想通貨交換所宛てのメールを攻撃者に盗まれた事例である。
攻撃者はレジストラの管理サービスの脆弱性を悪用して、レジストリが管理する権威DNSサーバーのレコードを書き換えた(図2-2)仮想通貨交換所の権威DNSサーバーを示すNSレコードを書き換えて、攻撃者が用意したサーバーを権威DNSサーバーとして利用させるようにしたのだ。その結果ユーザーが仮想通貨交換所宛てにメールを送ろうとすると攻撃者の権威DNSサーバーを参照してしまい、攻撃者が用意したサーバーにメールが届くようになった。
