攻撃と脅威
ドメインハイジャック
定義
登録済みドメインに対するレジストラまたはレジストリレベルでの不正な制御権奪取。攻撃者はトラフィック・メール・信頼を悪意ある基盤へ向け直せる。
ドメインハイジャックは、攻撃者が他者のドメインの管理権限を不正に取得することを指します。手口には、登録者アカウントの侵害、レジストラへのソーシャルエンジニアリング、レジストラ/レジストリ脆弱性の悪用、別レジストラへの不正移管などがあります。ドメインを掌握すれば、ネームサーバー、DNS レコード、連絡先情報、SSL/TLS 発行などを変更でき、Web・メール・API のすべてで正規組織を完全になりすませます。対策には、MFA で保護されたレジストラアカウント、レジストリロック(clientTransferProhibited、clientUpdateProhibited、レジストリ側ロック)、証明書発行者を制限する CAA レコード、レジストラとの専用窓口、DNS と WHOIS の監視、そしてレジストラの緊急手順を含むインシデント対応手順の整備が含まれます。
例
- ドメイン所有者のメールをフィッシングし、レジストラにログインしてドメインを攻撃者制御の DNS に移管し、認証情報を収集する。
- レジストラの侵害により、数百の顧客ドメインの NS レコードが書き換えられる。
関連用語
DNS ハイジャック
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
サイバースクワッティング
他者の商標や著名なブランド名を含むドメイン名を権限なく取得する行為。多くは権利者から金銭を引き出すか、利用者を欺くことが目的。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
サプライチェーン攻撃
信頼されたサードパーティのソフトウェア・ハードウェア・サービス提供者を侵害し、その下流顧客に到達する攻撃。