ESET/マルウェア情報局
ドメイン名を放棄するのは危険 その脅威と対策とは
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたドメイン名の放棄の危険性を再編集したものです
サイバー犯罪者が、ユーザーが放棄したドメイン名を使用して、顧客や従業員など、以前にドメインを所有していた企業に属するあらゆる種類の個人情報を取得できる、と研究者のゲーバー・サットマリー(Gabor Szathmari)氏は警告を発している。
サットマリー氏は、ドメインに関連付けられた以前の所有者のメールアカウントを新しい所有者が制御できてしまう、と説明する。サイバー犯罪者は、このアカウントを乗っ取って、さまざまなオンラインサービス上の機密情報にアクセスできるようになる。
サットマリー氏が率いるチームは、あまり知られていないこうしたリスクを実証するために、6つの期限切れドメイン名を再登録した。そのうちの1つは、以前はオーストラリアの法律事務所に属していた。ドメインに関連付けられたメールアカウントはほぼすべて、元の所有者向けの受信メールを、研究者チームが制御する「キャッチオール」というメールサービスに転送するように設定した。その後、チームはただ座って、メールが来るのを待っていた。
3ヵ月間で受信したメールの数は2万5000通を超えた。膨大なメールの中から、研究者チームはいくつかのメールを見つけ出した。訴訟手続き、およびその他の重要な法的文書の送付状、得意先への請求書、銀行明細書など、法務および顧客に関する非常に機密性の高い情報が含まれていた。
さらに深く踏み込めば、パスワードをリセットすることによって法務担当者を偽装し、顧客を納得させたり、企業のOffice 365およびG Suiteアカウントへのアクセスを取り戻したりすることも簡単にできるはずである。
情報漏えい検索ツールである「SpyCloud」と「HaveIBeenPwned」で利用可能な情報を結び付け、そして、ソーシャルメディア上のパスワードリセット機能を利用することによって、法務担当者の個人的または職務関連のアカウントの一部を、特にLinkedIn上で簡単にハイジャックできる。それは被害者がしばしば職務用のメールアドレスを使用していたからである。職業別のWebポータルのユーザーアカウントにも同様の危険性があることが判明した。
残すことができないものすべて
この研究では、オーストラリアの法律事務所が所有していたドメイン名に焦点を当てていた。明らかにこれらの企業は、オーストラリアだけでなく他国の場合でも同様に、合併や買収されることが多い。放棄されたドメイン名のリストは、インターネット上で簡単に見つかる。
もちろん、他の企業もこうしたリスクから逃れることはできない。サットマリー氏はオンラインショップとその顧客のドメイン名の放棄の危険性について、「放棄されたドメイン名にて以前に稼働していたオンラインのWebショップを復活させることによって、元のWebページをarchive.orgからダウンロードし、完全に機能するWebショップとして新たな注文や支払いを受けることができた」と詳しく説明する。
組織がこの脅威を防止できる最も簡単な方法は、そのドメイン名がすでに使われていなくても無期限に自動更新することである。その他の予防措置としては、職務関連のメールアドレスに登録されたユーザーアカウントの閉鎖や変更、またはドメイン名とアドレスとの関連付けの解除、利用可能な場合は2要素認証の利用、見破られにくいパスワードの継続的作成が含まれる。
[引用・出典元]