はじめに
情報システムのセキュリティ担当者の皆さん、こんにちは。城咲子です。
サイバー攻撃の手法は日々進化しており、中には一見しただけでは見破ることが難しい巧妙な手口も増えています。 今回は、最近の注目すべき脅威の一つである「DNSシャドウイング」について解説します。これは、DNS設定の盲点をついた非常に悪質な攻撃です。
DNSシャドウイングとは?
DNSシャドウイング(DNS Shadowing)とは、攻撃者がドメイン登録アカウントを不正に侵害し、正当なドメインのサブドメインを勝手に作成して悪用するサイバー攻撃です。
例えば、example.comというドメインの管理権限を奪った攻撃者が、support.example.comやlogin.example.comといった新しいサブドメインを密かに作成し、そこにフィッシングサイトやマルウェア配布サイトをホストします。
この攻撃の最も悪質な点は、メインドメインのexample.com自体は正常に稼働しているため、ドメイン所有者が攻撃に気づきにくいことです。攻撃者はメインサイトのトラフィックを一切妨害せず、影(シャドウ)で悪意のある活動を行うため、「シャドウイング」と呼ばれています。
DNSシャドウイングの仕組みと手口
DNSシャドウイングは、主に以下のステップで実行されます。
アカウント情報の窃取: 攻撃者は、フィッシング、パスワードリスト攻撃、情報窃取型マルウェアなどを利用して、ドメイン登録サービス(レジストラ)やDNS管理サービスのログイン情報を盗み出します。
DNS設定の不正変更: アカウントに不正アクセスした後、攻撃者は既存のDNSレコード(Aレコード、MXレコードなど)には手を加えません。その代わりに、悪用する目的で新しいサブドメインのレコード(例:
phishing.example.com)をこっそり追加します。悪意のあるページのホスト: 新しく作成したサブドメインに、正規サイトを模倣したフィッシングページや、マルウェアダウンロードページを設置します。
攻撃の実行: 攻撃者は、メールやSNSを通じて作成した悪意のあるURLを標的のユーザーに送りつけ、情報を窃取します。ドメイン自体は正規のものであるため、ユーザーはURLの不審さに気づきにくいのです。
DNSシャドウイングから身を守るための対策
DNSシャドウイングは、単なるWebサイトの脆弱性対策だけでは防げません。ドメイン管理アカウントのセキュリティを強化することが最重要です。
以下に、具体的な対策を挙げます。
多要素認証(MFA)の導入: ドメイン登録サービスやDNS管理アカウントにログインする際は、必ず多要素認証(MFA)を有効にしてください。これにより、パスワードが流出しても不正アクセスを大幅に防げます。
アカウントの定期的な監査: ドメインの登録情報やDNS設定に不審な変更がないか、定期的に確認する習慣をつけましょう。特に、身に覚えのないサブドメインが追加されていないかを注意深くチェックします。
強力なパスワードの使用: ドメイン管理アカウントのパスワードは、他サービスと使い回さず、強力でユニークなものを設定してください。
ドメインの監視ツールの活用: ドメインのDNSレコード変更を監視するサービスやツールを活用することも有効です。不審な変更を早期に検知できます。
まとめ
DNSシャドウイングは、ドメイン所有者だけでなく、そのドメインを信頼するユーザーにも大きな被害をもたらす脅威です。技術的な対策はもちろんですが、ドメイン管理アカウントのセキュリティを「人」の面からも強化することが、この攻撃から身を守る鍵となります。
