DNSの乗っ取りに関する必須ガイド：企業向けベストプラクティス

DNSの乗っ取りとは？

DNS乗っ取り攻撃では、サードパーティが企業のウェブサイト訪問者を偽のサイトへ気づかれないようにリダイレクトし、消費者が気付かないうちにログイン認証情報やその他のデータを盗み取ります。乗っ取り犯は企業のメールから情報を収集し、企業のドメインから発信されたように見せかけた高度なフィッシングキャンペーンやその他の攻撃を仕掛けることもできます。これは、データセキュリティリスクやブランド毀損に加え、特に欧州連合の一般データ保護規則（GDPR）などの規制により、重大なプライバシーの懸念を引き起こします。

DNSの乗っ取りはどのように発生するのか？

基本的なレベルでは、DNSはインターネットのアドレス帳として機能します。ユーザーがウェブブラウザにドメイン名を入力すると、DNSはその名前を対応するインターネットプロトコル（IP）アドレス（固有の数値列）に変換します。ウェブブラウザはこのIPアドレスを用いて、トラフィックの送信先を識別します。

DNSが重要な理由：
以下との接続

• ウェブサイト

• 内部APIおよび外部API

• アプリおよびメール

• VoIPおよびインスタントメッセージ

• クラウドインテグレーション

• 認証およびコントロール - O365、DMARC、SPF、Google、DNSSEC

DNSの乗っ取りは、悪意のある攻撃者がDNSレコードの改ざん、クエリのリダイレクト、またはDNSサーバーのコントロールを掌握することでこのプロセスを侵害し、正当なリクエストを異なるホスティング環境上の悪意のあるサイトへ送信させることで発生します。これは、侵害されたDNSプロバイダーアカウント、DNSサーバーのセキュリティ脆弱性、またはデフォルトの認証情報を持つルーターなど、セキュリティ対策が不十分なネットワークインフラを通じて発生する可能性があります。

DNSの乗っ取りと他DNSベースの脅威

DNSの乗っ取りとドメイン乗っ取り

ドメイン乗っ取り、またはドメイン名の乗っ取りは、登録機関の認証情報を盗むか、所有権の不正移管を行うことで、攻撃者がドメインを完全にコントロールすることを可能にします。DNSの乗っ取りが必ずしもドメイン所有権を変更せずに解決経路を操作するのとは異なり、ドメイン乗っ取りでは攻撃者がDNS設定を変更したり、ドメイン移管を行ったり、身代金を要求するためにドメインを保持したりすることが可能となり、長期にわたる混乱を引き起こします。一方、リバースドメイン乗っ取りは、正当な所有者からドメインを奪取するために商標権を偽って主張する法的紛争手口のことであり、DNSの乗っ取りやドメイン乗っ取りとは関係がありません。詳細については、サイバースクワッティング、タイポスクワッティング、その他のドメイン紛争が企業に与える影響に関する詳細をご覧ください。

DNSの乗っ取りとDNSポイズニング

DNSポイズニング攻撃では、サイバー犯罪者がDNSリゾルバのキャッシュに偽のDNSレコードを挿入します。これによりリゾルバは誤ったIPアドレスを返し、ユーザーをインターセプトして悪意のあるウェブサイトへリダイレクトすることになります。通常、キャッシュが更新されるとポイズニングされたレコードは失効します。

DNSの乗っ取りやポイズニングによりトラフィックをリダイレクトすることで、攻撃者はユーザーを欺き、不正なサイトへリダイレクトすることが可能です。DNSポイズニングは、攻撃者が通信をインターセプトして操作し、中間者攻撃を容易にするため、特に危険な手法です。一方、DNSの乗っ取りは主に、ユーザーを攻撃者がコントロールするサイトへリダイレクトすることに焦点を当てています。そこでユーザーは、知らずに認証情報を入力したり、マルウェアをダウンロードしたりする可能性があります。

中間者攻撃

• ユーザーとウェブサイト間の本来の通信が、中間者攻撃によってインターセプトされ、改ざんされます。

ドメイン乗っ取りとドメインシャドーイング

ドメインシャドーイングは、攻撃者が不正に取得した認証情報を使用してドメイン設定にアクセスする、もう一つのDNSベースの脅威です。既存のDNSレコードを変更する代わりに、ドメイン所有者の知らないうちに新たな悪意のあるサブドメインを作成します。DNSの乗っ取りとは異なり、ドメインシャドーイングではプライマリドメインが正常に動作し続けるため、検知がより困難となります。こうした悪意のあるサブドメインは、フィッシングやマルウェアの配布に利用されることが多くあります。詳細は、攻撃者がサブドメインを悪用するその他の方法をご覧ください。

DNSの乗っ取りで使用される3つの攻撃ベクトル

サイバーセキュリティにおいて、ベクトルとは、操作が実行される特定の方法または経路を指します。ハッカーがDNSの乗っ取りに使用する主なベクトルは、以下の3つが挙げられます。

DNSの乗っ取りを阻止する方法

DNSの乗っ取りが発生した場合、直ちに対応することをお勧めいたします。侵害に対処するための主な手順は以下の通りです：

1. ドメインレジストラまたはDNSプロバイダーのアカウントにアクセスし、攻撃者によって行われた変更を元に戻すことで、DNS環境のコントロールを取り戻します。すべてのDNSレコードが正しいサーバーを指すようにし、正常な接続を復元します。
2. ドメインレジストラおよびDNSアカウントのパスワードを変更し、二段階認証を有効にして、未確認のアクセスをブロックします。
3. 悪意のあるDNSエントリを削除します。攻撃者がDNSレコードを改ざんしている場合、悪意のあるエントリを、お客様のウェブサイトまたはサービスに関する正しい情報に置き換えます。これにより、ユーザーが有害なサイトにリダイレクトされることを防ぎます。
4. インシデントについて、社内チーム、パートナー、および顧客に通知します。問題が解決するまで、影響を受けたサイトへのアクセスを控えるよう呼びかけます。
5. DNSレコードおよび設定の修正後、さらなる改ざんや異常なアクティビティの兆候がないか、DNSトラフィックをモニタリングします。
6. 乗っ取りが発生した経緯を特定するため、徹底的なセキュリティ監査を実施します。これには、将来のインシデントを防ぐために、DNSプロバイダーやネットワーク、アカウントのセキュリティ強化といった防御策の強化が含まれる可能性があります。

DNSの乗っ取りリスクを軽減する方法

DNSの乗っ取りを阻止する方法を理解することは重要ですが、それ以上に重要なのは、そもそもそのような事態が発生しないように予防することです。DNSの乗っ取りに対する防御策として、以下の対策をご検討ください：

• ドメインレジストラおよびDNSプロバイダーのアカウントが、強固で固有のパスワード、二要素認証、シングルサインオン（SSO）によって保護されていることを確認します。これにより、DNS設定への不正アクセスを防止できます。
• ドメイン名システムセキュリティ拡張（DNSSEC）を実装し、DNS応答の真正性を検証することで、セキュリティをさらに強化します。
• SSL（Secure Sockets Layer）およびTLS（Transport Layer Security）証明書については、証明書管理ソリューションを用いて定期的に確認を行い、有効性、適切な設定、および期限内の更新を確実に実施します。これにより、DNSの乗っ取りの試みがあった場合でも、攻撃者がお客様のウェブサイトを偽装することを防止できます。
• ルーター、サーバー、および内部ネットワークは、デフォルトのパスワードを変更し、強力な暗号化を使用し、すべてのファームウェアを最新の状態に保つことで保護します。これにより、DNSへの侵入に悪用される可能性のある脆弱性を最小限に抑えられます。
• DNSレコードとトラフィックを定期的に監査し、異常な変更がないか確認します。不審なアクティビティを早期に検出することで、侵害が定着する前に阻止できます。
• 強力なセキュリティ対策と継続的なモニタリングを提供する信頼できるDNSプロバイダーを選択します。信頼性の高いプロバイダーは、脆弱性の特定や潜在的な脅威の早期検知をサポートし、事態が深刻化する前に警告を発します。

レジストリロックがドメイン乗っ取りを防止する仕組み

DNSの乗っ取りから企業を守る

CSCは様々な脅威への対応をサポートします。DomainSec^SMは、攻撃に対する脆弱性を生み出すセキュリティ上の見落としについて、包括的な視点を提供します。数百社に及ぶ世界有数の大企業が、組織とブランドを守るため、レジストリロックの当社版であるマルチロックなどの当社のセキュリティサービスを利用しています。これらのソリューションは、万が一の攻撃発生時にリスクを最小限に抑える最も効果的な手段です。