Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog

2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの？ 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい？ 不要なCNAMEレコードを削除する。 影響範囲は？ 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認（2020年7月

[palm84]

(これと同じなのか知らないけど)Google検索で1週間以内とか指定し、その中でいかにも無内容そうなリンクをクリックすると、この手の詐欺ページに飛ばされたり…

[teppeis]

確かにCNAMEレコードの後始末放置とか世の中にゴロゴロありそう

[JULY]

自分は AWS の CloudFront しか知らないから「そんな狙ってドメインなんかとれないじゃん。どんだけガチャ引く気？」と思ったら、Azure は指定できるのかぁ。

[getcha]

Azureの CDNは指定でドメイン名が取れて、それが利用されたという事かな。他にも指定で取れるCDNあるな・・・

[tmatsuu]

CNAME先が共通のFQDNだった場合にリスクということか。cloudfrontはユニークなFQDNが付与なので多分大丈夫だろうけどAzure以外のCDNにも同様の問題はありそう。そもそもで言えばCDNに限らないか。

[memoryalpha]

“定義先のサービスを終了したにもかかわらずCNAMEレコードがそのままとなっている、かつ外部サービス側で使用されるドメイン名に第三者が任意のサブドメインを指定でき所有確認等が行われない場合”

[N_T]

"外部サービスが定義されたCNAMEレコードにおいて、定義先サービスを終了したにも関わらずCNAMEレコードがそのまま" & " 外部サービスで使用されるドメイン名に第三者が任意サブドメインを指定でき所有確認等が行れない"

[yo_waka]

CNAME放置かー

[rjge]

Azureのサービス割と確認ザルなんだな…

[cho45]

cname 先の名前を CDN サービス側が一意保証しないのが良くないと思うんだけど

[TakayukiN627]

見た。何が起きたのか分からなかったのですが、そっとタブを閉じました。やはり、詐欺サイトだったのね。

[ys0000]

そんなところに名前が残ってるとか忘れそう。特にサービス立ち上げから数年経ってると担当者が変わってるとか普通におきるもんね。

[sho]

これってCDN側のサービスで対処できるよなぁ。

[windish]

対応は、使わなくなったCNAMEレコードの削除

[dekaino]

専門知識が足りない人員が管理業務やってるからだよなぁ。DNS管理なんて利益を生まない業務だし。

[takasago08]

“れ”

[shaw]

なるほど。

[umakoya]

CNAME放置はやりがちだけどAWSのcloudfrontだとランダムっぽい値だから、第三者が指定して取ることはできないかな。

[deep_one]

スクワッティングか。／CDNは設定したことがないが、そういうシステムで動いていたのか。

[gfx]

“CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる”

[side_tana]

ふにゃーん

[Falky]

おおーなるほどー

[ockeghem]

引用されているOrangeさんの説明がわかりやすい

[kaputte]

こんなやり方あるんだ

[IGA-OS]

サイト運用者は気をつけなはれや？って話

[daruyanagi]

“どう対応すればよい？：不要なCNAMEレコードを削除する。”

[hobbiel55]

2週間ぐらい前に、はてなブックマークのページを表示すると最初の画像の詐欺ページが表示されることが頻発してたけど、これのせいか。

[machida77]

このパターンの誘導はやたら増えた

[sora_h]

以外にしられてないやつ