サイト攻撃サブドメインテイクオーバー?設定していないサブドメインが見つかった



DNS に関連するサイバー攻撃が増加しているということで、サブドメインをチェックしてみました。

SEOツールネット(無料ツール提供サイト)

当サイト(zbnr-hp.com)はサブドメインは表示されなかったのですが、
旅行と食べ歩きサイトが問題。

昨年チェックした時、見覚えのないサブドメインが6つもありました。

f1d3.7937b.zbnrk.com
vpn9th.zbnrk.com
bnldxl.zbnrk.com
jhr357.5dhp.zbnrk.com
hb3x.xr7t.zbnrk.com
3513f.5ht.zbnrk.com

なんとなく放置していたのですが、今年確認したらもう1つ作成されていました。
これが「サブドメインテイクオーバー」というものなのかな?

jn5.d17.zbnrk.com

一応全てのサブドメインをチェックしたら「無効なURLです」となっていました。
今のところ問題はなさそうだけど気味が悪い。

サブドメインテイクオーバーの原因

DNS レコードの管理がよろしくない場合に発生するとのこと。
思い当たる点といえば、昨年に契約しているエックスサーバーにて「新サーバーに移行」した時にドメインの SPF レコードを変更していなかったこと

それから半年経ち、サーバーから「ご利用中のドメイン名の SPF レコードの補正のお知らせ」メールが届き、「メインドメインは修正したけど他のドメインは補正対象外だから自分でやってね」といった趣旨のことが書かれてあったので1か月後に修正しました(←早くやれ)

流れを要約。

  1. 新サーバーに移行した後まもなく攻撃されサブドメイン6個作られ?
  2. 翌年も攻撃されサブドメイン1個作られ?
  3. SPF レコードを補正した後は大丈夫ぽい
  4. 今ここ

CDN(Content Delivery Network)サービスやWebサービスの利用開始時に設定したサブドメインのDNS設定がサービスの利用終了後も残ったままになっていることを利用し、ドメイン名の管理権限を持たない第三者が、そのサブドメインの乗っ取り(テイクオーバー)を図る攻撃手法です。
JPRS

Xserverドメイン13-0910

他のサイトでサブドメインをチェック

DNSdumpster.com

SEOツールネットで表示された同じサブドメインが表示されていました。

Subdomain finder

  • 「lyncdiscover.zbnr-hp.com」って何だろう
  • 「mta-sts.zbnr-hp.com」は MTA-STS TXT レコードみたい(メールサーバー)
  • 「wp.zbnr-hp.com」は以前に設けたけど「やっぱりやーめた」ということで使わなかったのですが残るんですね

サブドメインテイクオーバーを防ぐ方法

サーバーを移転した時など、SPFレコードが変更された時はすぐに確認して修正しないとダメですね。
なりすましメールの原因にもなるんだとか。

うーん、盲点でした。

Subdomain Takeoverを防ぐための根本的な対策として、Webサイトの公開を終了する際、利用していたCDNサービスの解約に加え、Webサイトの公開時に設定したCNAMEリソースレコードやA/AAAAリソースレコードも忘れずに削除することが挙げられます。

JPRS