サブドメインテイクオーバーと対策
キャンペーンサイトを構築するとき、CDNサービスやクラウドサービスを利用していたとしたら、サブドメインテイクオーバーの可能性があります。
サブドメインテイクオーバーは、下図のようにして、閉鎖したはずのサイトが偽サイトにすり替えられます。
サブドメインテイクオーバーは、下図のようにして、閉鎖したはずのサイトが偽サイトにすり替えられます。
御社のサイトのサブドメイン "hoge.pahoo.org" にキャンペーンサイトを構築したとしましょう。応募の負荷がかかることを想定し、負荷分散のCDNサービスやクラウドサービスを利用し、キャンペーンサイトに実体は "test.foo.net" に設置したとします。
このとき、DNSのCNAME設定で "hoge.pahoo.org" を "test.foo.net" に結びつけます。
偽サイトは、キャンペーンサイトを真似て作られているかもしれません。そうなると、お客さんはキャンペーンが続いているものと誤解し、メールアドレスやクレジットカード番号を入力してしまうかもしれません。
このようなサブドメインの乗っ取りをサブドメインテイクオーバーと呼びます。
悪意のある第三者は、使用されていないCNAME設定を探索しているのです。
対策としては、不要になったサブドメインは、DNSのCNAME設定から速やかに削除することです。
このとき、DNSのCNAME設定で "hoge.pahoo.org" を "test.foo.net" に結びつけます。
- サービス提供中は、"hoge.pahoo.org" へのアクセスを負荷分散するなどして、"test.foo.net" の中にあるコンテンツを表示させます。
- サービス終了したら、"test.foo.net" が消去され、お客さんが "hoge.pahoo.org" へアクセスしようとしてもページが見つからなくなります(または終了案内ページへジャンプさせるでしょう)。
- ここで、DNSのCNAME設定の削除を忘れると、悪意をもった第三者がクラウドサービスに "test.foo.net" を再び立てて、"hoge.pahoo.org" へのアクセスを偽サイトへ誘導してしまいます。
偽サイトは、キャンペーンサイトを真似て作られているかもしれません。そうなると、お客さんはキャンペーンが続いているものと誤解し、メールアドレスやクレジットカード番号を入力してしまうかもしれません。
このようなサブドメインの乗っ取りをサブドメインテイクオーバーと呼びます。
悪意のある第三者は、使用されていないCNAME設定を探索しているのです。
対策としては、不要になったサブドメインは、DNSのCNAME設定から速やかに削除することです。
参考サイト
- 放置した設定が引き起こす「サブドメインテイクオーバー」を知る:ITmedia,2020年7月28日
- DNS レコードを管理してサブドメイン テイクオーバーを防ぐ:Microsoft Security Response Center,2020年10月27日
(この項おわり)
キャンペーン期間は無事終了し、サイトを閉鎖しました。
ところが、閉鎖後、お客さんから「クレジットカードを悪用された。どうしてくれるんだ」とクレームの嵐が――いったい、何が起きたのでしょうか。