ドメインシャドーイング
ドメインシャドーイング とは何ですか?
ドメインシャドーイング攻撃者が正規ドメインの所有者のレジストラ アカウントを侵害し、信頼された親ドメイン配下に悪意あるサブドメインを密かに作成する攻撃。
ドメインシャドーイングは、盗取したレジストラや DNS ホスティングの資格情報を悪用します。新しい怪しいドメインを登録する代わりに、攻撃者は被害者のパネルにログインし、login.acme.example.com や invoice42.acme.example.com のようなサブドメインを数百個ひそかに追加して自分のインフラへ向けます。親ドメインは長く運用され評判が良く、目に見える変更もないため、サブドメインはレピュテーションを継承し URL レピュテーションフィルター・メールゲートウェイ・TLS 警告を回避しやすくなります。Angler や RIG などのエクスプロイトキット運用者やフィッシンググループが活用してきました。対策としてレジストラの強力な MFA、レジストリロック、DNS 変更監視、新規サブドメインを検査する出口 Web フィルターが有効です。
● 例
- 01
Cisco Talos が Angler エクスプロイトキットによる数千のシャドードサブドメインのローテーション運用を報告。
- 02
フィッシンググループが著名な中小企業のシャドードサブドメインを利用して資格情報窃取ページを設置。
● よくある質問
ドメインシャドーイング とは何ですか?
攻撃者が正規ドメインの所有者のレジストラ アカウントを侵害し、信頼された親ドメイン配下に悪意あるサブドメインを密かに作成する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ドメインシャドーイング とはどういう意味ですか?
攻撃者が正規ドメインの所有者のレジストラ アカウントを侵害し、信頼された親ドメイン配下に悪意あるサブドメインを密かに作成する攻撃。
ドメインシャドーイング はどのように機能しますか?
ドメインシャドーイングは、盗取したレジストラや DNS ホスティングの資格情報を悪用します。新しい怪しいドメインを登録する代わりに、攻撃者は被害者のパネルにログインし、login.acme.example.com や invoice42.acme.example.com のようなサブドメインを数百個ひそかに追加して自分のインフラへ向けます。親ドメインは長く運用され評判が良く、目に見える変更もないため、サブドメインはレピュテーションを継承し URL レピュテーションフィルター・メールゲートウェイ・TLS 警告を回避しやすくなります。Angler や RIG などのエクスプロイトキット運用者やフィッシンググループが活用してきました。対策としてレジストラの強力な MFA、レジストリロック、DNS 変更監視、新規サブドメインを検査する出口 Web フィルターが有効です。
ドメインシャドーイング からどのように防御しますか?
ドメインシャドーイング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ドメインシャドーイング の別名は何ですか?
一般的な別名: サブドメインシャドーイング。
● 関連用語
- attacks№ 407
ファストフラックス
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
- attacks№ 348
ドメイン生成アルゴリズム(DGA)
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- attacks№ 338
DNS ハイジャック
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
- attacks№ 1184
タイポスクワッティング
正規のドメイン名やパッケージ名のスペルミス・視覚的類似名を取得し、入力ミスや視認ミスをするユーザー・開発者を狙う手口。