Last Updated on 2025-05-17 14:46 by admin
ダイナミックDNS(DDNS)サービスが、Scattered Spiderなどのサイバー犯罪グループによって悪用されるケースが2025年に増加している。DDNSは本来、IPアドレスが変更された際にドメイン名のDNSレコードを自動更新するサービスだが、攻撃者はこれを悪用して活動を隠蔽し、有名ブランドを偽装している。
脅威インテリジェンス企業Silent Pushは2025年4月の報告で、2024年に主要メンバーが逮捕されたにもかかわらず、Scattered Spiderが新たなフィッシングキャンペーンを展開していると指摘した。特に注目すべき点は、it.com Domains LLCなどのDDNSプロバイダーから「レンタル可能なサブドメイン」を使用する戦術への移行である。
具体的な攻撃例として、2025年2月6日にScattered Spiderがklv1.it[.]comというサブドメインを確立し、ボストンを拠点とするマーケティング自動化企業Klaviyoの類似ドメインklv1.ioを偽装した。この悪意のあるドメインは報告時点でVirusTotalでわずか5件の検出しかなかった。
サイバーセキュリティ企業Push Securityの研究者Dan Greenによると、it.comを通じたレンタル可能なサブドメインは、.bizや.xyzではなく本物の.comドメインを持つため正当に見える。これらのサブドメインは「購入が安価で、居住証明やその他のチェックが必要ない」ため、攻撃者が簡単に入手できるという。Green氏は2025年5月上旬のブログ投稿でこの傾向について警告している。
2025年3月の報告書で、Allure Securityは特にDuck DNS、ChangeIP、No-IPなどのプロバイダーを使用した詐欺師の増加を指摘している。
it.com Domainsの最高戦略責任者Joe Alagnaは、同社が2月に登録されてから1〜2週間以内に偽のKlaviyoドメインを無効化したと述べたが、Silent Pushのシニア脅威研究者Zach Edwardsは、Scattered Spiderにとってはそれが長すぎる時間の窓だと主張している。「彼らはドメインを数時間、おそらく数日使用するが、決して数週間は使用しない」とEdwardsは説明した。
Alagnaによると、it.com Domainsは世界中のほとんどのレジストリよりも強力な不正防止ポリシーを持ち、ICANNのベストプラクティスに自主的に従っているという。同社は2023年初頭の立ち上げ前に「サンライズ」期間を設け、商標所有者が一般に公開される前にサブドメインを登録できるようにした。
Silent Pushの報告書では、Scattered Spiderが以前に登録していたTwitterドメイン(twitter-okta[.]com)を、X(旧Twitter)が所有権を失効させた後に素早く再取得した例も挙げられている。
Edwardsは、2025年のサイバー攻撃パターンとして「公にレンタル可能なドメインとダイナミックDNSサービスの使用がますます増える」と予測し、「すべての防御者がそのプロセスに備えているとは思わない。なぜなら、それらのドメインは数万もあるからだ」と警告している。
References:
Dynamic DNS Emerges as Go-to Cyberattack Facilitator
【編集部解説】
ダイナミックDNS(DDNS)サービスは、本来は動的IPアドレス環境でドメイン名を安定して使用するための便利な技術ですが、近年その悪用が深刻な問題となっています。特に2025年に入ってから、サイバーセキュリティベンダーが報告するDDNS悪用事例が急増しており、セキュリティコミュニティの懸念が高まっています。
検索結果から確認できる通り、Scattered Spiderのような高度なサイバー犯罪グループがDDNSサービスを悪用する手法は、単なるドメイン偽装にとどまらない戦略的な進化を遂げています。特に注目すべきは「レンタル可能なサブドメイン」の活用です。これは従来のドメイン登録とは異なり、DDNSプロバイダーが所有する正規ドメイン(例:it.com)の下にサブドメインを作成する方法で、攻撃者にとって多くの利点があります。
まず、これらのサブドメインは正規の.comドメインを持つため、一見して信頼性が高く見えます。また、通常のドメイン登録と違い、WhoIs情報が残りにくく追跡が困難です。さらに、購入が安価で身元確認が緩いため、匿名性を保ちながら簡単に入手できるという特徴があります。
特に重要なのは、これらのサブドメインが「使い捨て」として機能する点です。Silent Pushの研究者が指摘するように、Scattered Spiderは数時間から数日という短期間でこれらのドメインを使用し、検知される前に次のドメインに移行します。これは従来のセキュリティ対策の盲点となっています。
it.com Domainsのような一部のDDNSプロバイダーは、悪用防止ポリシーを強化し対応を進めていますが、対応までに1〜2週間かかるケースもあり、攻撃者の活動サイクル(数時間〜数日)と比較すると依然として大きなギャップがあります。
また、検索結果からは、DDNSの悪用は単にScattered Spiderだけの問題ではないことも明らかです。Cybleの報告によれば、Scattered Spider(別名:UNC3944、Octo Tempest、Muddled Libra、Scatter Swine、Storm-0875など)は19〜22歳の若者で構成されるグループで、主に通信、ビジネスプロセスアウトソーシング、ホスピタリティ、小売、メディア・エンターテイメント、金融サービスなどの業界を標的としています。
この問題の深刻さを示す事例として、2024年にはCaesars EntertainmentやMGM Resortsといった米国の大手カジノ・ギャンブル企業が被害を受けています。Scattered Spiderは主にSMSフィッシング、被害者ヘルプデスクへの電話、SIMスワッピングから攻撃を開始し、社会工学的手法で認証情報を侵害した後、AnyDeskやScreenConnectなどの正規ソフトウェアを使用して持続的アクセスを維持します。
企業のセキュリティ担当者にとって、この状況は新たな防御戦略の必要性を示唆しています。従来の「新規ドメイン登録の監視」だけでは、DDNSサブドメインを使った攻撃を検知できません。また、単純にDDNSドメイン全体をブロックすると、正規の利用まで遮断してしまう可能性があります。
今後は、DDNSドメインの振る舞いパターンを分析する高度な検知技術や、ブランド名を含むサブドメインの継続的なモニタリングなど、より洗練された対策が求められるでしょう。
また、DDNSプロバイダー側も、ユーザー認証の強化やサブドメイン作成の制限、悪用報告への迅速な対応など、セキュリティ対策の強化が期待されます。it.com Domainsが実施している「サンライズ期間」(商標所有者が先行登録できる期間)のような取り組みは、他のプロバイダーにも広がるべき良い例と言えるでしょう。
テクノロジーの進化は常に「利便性」と「セキュリティ」のバランスの上に成り立っています。DDNSは多くの正規ユーザーに価値あるサービスを提供する一方で、悪意ある行為者にも同様の利点を提供してしまうという「デュアルユース」の典型例です。
【用語解説】
ダイナミックDNS(DDNS):
動的に変化するIPアドレスに対して固定のドメイン名を紐づけるサービス。自宅のインターネット回線のように、接続するたびにIPアドレスが変わる環境でも、常に同じドメイン名でアクセスできるようにする技術である。
レンタル可能なサブドメイン:
DDNSプロバイダーが所有する正規ドメイン(例:it.com)の下に、ユーザーが自由に設定できるサブドメイン(例:example.it.com)を提供するサービス。
Scattered Spider:
高度なソーシャルエンジニアリング手法を駆使するサイバー犯罪グループ。Octo Tempest、UNC3944、Muddled Libra、Scatter Swine、Storm-0875などの別名でも知られている。特に企業の従業員になりすまし、多要素認証を突破する手法に長けている。2024年に一部メンバーが逮捕されたが、活動は継続している。19〜22歳の若者で構成されているとされる。
ソーシャルエンジニアリング:
人間の心理的な隙や行動パターンを利用して情報を盗み出したり、不正アクセスを行ったりする手法。技術的な脆弱性ではなく「人間」の脆弱性を突く攻撃である。
SIMスワップ:
攻撃者が通信事業者をだまして被害者の電話番号を自分のSIMカードに移し替える手法。これにより、SMSベースの多要素認証コードを受け取ることができるようになる。
Fast Flux:
一つのドメイン名に対して短時間で多数のIPアドレスを次々と割り当てる技術。攻撃者はこれを使って検出や遮断を回避する。例えるなら、警察に追われている犯人が次々と異なる家に身を隠すようなものである。
Spectre RAT:
Scattered Spiderが使用している遠隔アクセス型トロイの木馬。データ窃取、コマンド実行、システム偵察などの機能を持ち、ステルス性と柔軟性を備えている。2025年に更新版が確認されている。
【参考リンク】
it.com Domains LLC(外部)
IT関連企業やサービス向けの.it.comドメインを提供する企業。2023年初頭に立ち上げられた。
Silent Push(外部)
脅威アクターの活動を追跡し、企業向けにインテリジェンスを提供するセキュリティ企業。
Push Security(外部)
従業員のセキュリティリスクに焦点を当てたセキュリティソリューションを提供する企業。
Duck DNS(外部)
無料でサブドメインを提供するDDNSサービス。個人利用に人気がある。
No-IP(外部)
1999年から運営されている老舗のDDNSサービス。無料プランと有料プランを提供している。
ChangeIP(外部)
複数のドメインオプションを提供するDDNSサービス。
Klaviyo(外部)
Eコマース向けのマーケティングプラットフォームを提供するボストン拠点の企業。
Cyble(外部)
脅威アクターのプロファイリングや脅威情報の提供を行うセキュリティ企業。
【参考動画】
ダイナミックDNSの基本概念と仕組みを解説している動画。
DuckDNSの実際の設定方法と使い方を解説している動画。
ドメインの基本概念をわかりやすく解説している動画。
ドメイン名の階層構造やTLDの種類などを解説している動画。
【編集部後記】
皆さん、ご自身のネットワーク環境でダイナミックDNSを利用していますか?便利な技術が攻撃者の武器になる皮肉な現実を目の当たりにすると、テクノロジーの両面性について考えさせられますね。もし企業のセキュリティ担当をされている方は、自社のネットワークでDDNSドメインへの接続をどのように監視・管理していますか?また、個人の方も、使用しているDDNSサービスのセキュリティ対策を一度確認してみてはいかがでしょうか?皆さんの経験や対策について、ぜひSNSでシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
