Last Updated on 2024-11-25 11:28 by admin
サイバーセキュリティ企業Infobloxは、2024年11月14日、「Sitting Ducks(座っているアヒル)」と呼ばれるドメイン乗っ取り攻撃の被害が拡大していることを報告した。
主な要点:
- 過去3ヶ月間で約80万の脆弱なドメインを特定
- そのうち約7万件(9%)が実際に乗っ取られた
- この攻撃手法は2016年にセキュリティ研究者Matthew Bryantによって初めて報告された
主な攻撃グループと活動期間:
- Vacant Viper:2019年12月から活動開始、年間約2,500ドメインを乗っ取り
- Horrid Hawk:2023年2月から活動開始
- Hasty Hawk:2022年3月から活動開始
- VexTrio Viper:2020年初頭から活動開始
被害を受けた主な企業・組織:
- マクドナルド
- パラマウントグローバル
- DHL
攻撃者は乗っ取ったドメインを通常30〜60日間保持し、以下の目的で使用している:
- フィッシング攻撃
- 投資詐欺
- マルウェア配布
- スパム配信
- データ窃取
from:Experts Uncover 70,000 Hijacked Domains in Widespread ‘Sitting Ducks’ Attack Scheme
【編集部解説】
「Sitting Ducks」攻撃は、2016年に発見されてから8年以上も放置されてきた深刻な脆弱性です。この問題が今になって大きく取り上げられている背景には、ロシアを拠点とする12以上のサイバー犯罪グループによる組織的な悪用が確認されたことがあります。
特に注目すべきは、この攻撃手法が従来型のドメインハイジャックと比べて、実行が容易で検知が困難という特徴を持っていることです。攻撃者はドメイン所有者のアカウントにアクセスする必要すらありません。
大手企業でさえ、この脆弱性への対応が追いついていない現状が浮き彫りになっています。
特筆すべきは、攻撃者たちが「ドメイン貸出図書館」のように脆弱なDNSプロバイダーを利用し、30-60日ごとにドメインの支配者を入れ替えている点です。この手法により、従来の検知システムをすり抜けることに成功しています。
より懸念されるのは、ブランド保護のために登録された「防衛的ドメイン」が標的になっているという事実です。これらのドメインは高い信頼性を持つため、悪用された際の被害が甚大になる可能性があります。
InfobloxのRenee Burton博士が指摘するように、問題解決を妨げているのは技術的な課題というよりも、商業的な理由です。わずか数社のDNSプロバイダーが対策を講じるだけで、問題の80%は解決できるとされています。
この問題が示唆するのは、デジタルインフラの根幹を支えるDNSシステムの脆弱性が、想像以上に深刻だということです。特に日本企業は、海外のDNSサービスに依存している場合が多く、早急な対策が求められます。
今後は、DNS設定の見直しだけでなく、定期的なセキュリティ監査の実施が不可欠となるでしょう。また、DNSプロバイダーの選定においても、セキュリティ対策の実施状況を重要な判断基準とする必要があります。
長期的には、DNS管理の標準化や、プロバイダー間での情報共有の促進など、業界全体での取り組みが求められます。この問題は、インターネットインフラの信頼性に関わる重要な課題として、継続的な監視と対策が必要です。