Guardio Labsの研究者たちは、スパマーのグループが、MSN、eBay、CBS、Marvelなどの確立されたブランドの長年忘れられていたサブドメインを使用して、悪意のあるメールを送信していることを発見した。これらのメールはスパムチェックを回避し、受信者には正当なソースから来たように見える。サブドメインはドメイン名の名前付きのサブディビジョンである。例えば、my.malwarebytes.comとwww.malwarebytes.comは、malwarebytes.comドメインのサブドメインである。企業はマーケティングキャンペーンを区別したり、異なるオンラインシステムに名前を付けたりするためにサブドメインを使用する。また、CNAME(Canonical Name)DNSレコードを作成して、サブドメインを別のドメインやサブドメインにエイリアスすることも一般的である。例えば、サブドメインmy.malwarebytes.comは、CloudFrontサーバーd1ok04i2z9vvoy.cloudfront.netの読みやすいエイリアスである。企業がこれらの技術を使用し、使用後にレコードをクリーンアップしない場合、犯罪者はこれを利用することができる。研究者は、marthastewart.msn.comがmsnmarthastewartsweeps.comドメインのエイリアスであった例を提供する。ある時点で、MSNはmsnmarthastewartsweeps.comドメインを必要としなくなり、それに対する支払いを停止したが、marthastewart.msn.comをそれにエイリアスするCNAMEレコードを削除しなかった。犯罪者は2つの間のリンクを発見し、msnmarthastewartsweeps.comドメインを購入した。これにより、サブドメインはmsnmarthastewartsweeps.comの全ての振る舞い、そのSPFポリシーを含む、を継承する。Sender Policy Framework(SPF)は、特定のドメインのためにメールを送信できるドメインとIPアドレスを設定するアンチスパムDNSレコードである。古く忘れられたエイリアスmsnmarthastewartsweeps.comを登録することにより、犯罪者は自分たちのIPアドレスをSPFレコードに追加し、SPFチェックを通過するmarthastewart.msn.comからのスパムを送信することができた。Guardio Labsは、SPFのinclude:構文がドメインの代わりにメールを送信することが許可されている他のドメイン名のリストを含むことができるため、SPFは犯罪者に別の制御方法を提供すると警告する。研究者が何を探しているかを知った後、彼らは少なくとも2年前に遡る、CNAMEおよびSPFベースの戦術を含む数千のいわゆる「サブドメーリング」のインスタンスを特定した。ハイジャックされたサブドメインと利用可能なIPアドレスの数は、犯罪者が検出と「資産」の枯渇を最小限に抑えるためにそれらをサイクルさせるのに十分大きい。組織としては、妥協の兆候を定期的にチェックし、オンライン資産をよりよく管理することが重要である。これには、使用されていないサブドメインとDNSレコードを削除することから始める。Guardio Labsは、ドメイン管理者とサイト所有者が悪用の痕跡が見つかったかどうかを迅速にチェックできる特別なサブドメーリングチェッカーウェブサイトを作成した。研究者は、チェッカーがCNAMEおよびSPFベースのハイジャックによって影響を受けた最新のドメインのデータベースを照会することを指摘する。したがって、肯定的な結果は安全であることを意味するのではなく、まだハイジャックされていないことを意味する。
【ニュース解説】
近年、インターネットのセキュリティはますます複雑化していますが、その中でも特に注意が必要なのが、スパムメールの問題です。最近の研究で、スパマーが放棄されたサブドメインを利用してスパムチェックを回避し、悪意のあるメールを送信していることが明らかになりました。この手法は、MSN、eBay、CBS、Marvelなどの有名ブランドの忘れ去られたサブドメインを悪用するもので、受信者にはこれらのメールが正当なソースから来たように見えるため、特に危険です。
サブドメインとは、ドメイン名の下に設定される名前付きの区分で、企業がマーケティングキャンペーンの区別や異なるオンラインシステムの命名に使用します。しかし、これらのサブドメインやCNAME(Canonical Name)DNSレコードが適切に管理されずに放置されると、犯罪者がこれらを利用して悪意のある活動を行う余地が生まれます。
例えば、あるサブドメインが別のドメインにエイリアスとして設定されていた場合、そのエイリアス先のドメインが放棄された後も、サブドメインのCNAMEレコードが削除されなければ、犯罪者がその放棄されたドメインを購入し、元のサブドメインを通じてスパムメールを送信することが可能になります。これにより、スパムメールはSPF(Sender Policy Framework)チェックを回避し、より多くの受信者に届く可能性があります。
この問題の解決策として、企業や組織は定期的に自身のドメインとサブドメインを監視し、不要になったサブドメインやDNSレコードを削除することが重要です。また、Guardio Labsが提供するサブドメーリングチェッカーウェブサイトを利用して、自身のドメインが悪用されていないかを確認することも有効な手段の一つです。
このような攻撃手法の発見と公表は、インターネットのセキュリティを向上させる上で非常に重要です。しかし、犯罪者が新たな手法を開発し続ける限り、企業や個人は常に警戒し、セキュリティ対策を更新し続ける必要があります。この問題は、単に技術的な対策だけでなく、組織全体のセキュリティポリシーの見直しや従業員教育など、より包括的なアプローチが求められることを示しています。
from Check your DNS! Abandoned domains used to bypass spam checks.
