出典: NicoElNino via Alamy Stock Photo
動的DNSサービスは長年存在していますが、最近ではScattered Spiderのようなサイバー犯罪グループの武器として重要なツールとして浮上しています。
動的DNS(DDNS)サービスは、インターネットサービスプロバイダーがIPアドレスを変更した際に、ドメイン名のDNSレコードをリアルタイムで自動的に更新します。インターネットの初期段階では、静的IPアドレスが一般的だったため、DNSレコードのリアルタイム更新は必要ありませんでした。
しかし、過去10年以上にわたるドメイン、IPアドレス、インターネット接続デバイスやリソースの大規模な増加により、組織は動的ホスト構成プロトコル(DHCP)を使用してIPアドレスを動的に割り当てるようになりました。例えば、ファイルサーバーやIoTデバイスに新しいIPアドレスが割り当てられるたびにDNSレコードを手動で更新する代わりに、DDNSプロバイダーがそれらの組織に代わって自動的にレコードを更新します。
それは簡単に聞こえますが、悪意のある行為者は長年にわたってこのサービスを悪用してきました。しかし最近では、特に今年、サイバーセキュリティベンダーがそのような活動の増加を観察しています。例えば、悪名高いサイバー犯罪集団Scattered Spiderは、DDNSを利用して悪意のある活動を隠蔽し、ソーシャルエンジニアリング攻撃で有名なブランドを偽装しています。この傾向により、一部の専門家は悪用の増加と「レンタル可能」なサブドメインの急増を懸念しています。
Scattered Spiderが動的DNSを採用
先月、脅威インテリジェンスベンダーSilent Pushは、ブログ投稿で、2024年に著名なメンバーの逮捕があったにもかかわらず、Scattered Spiderが有名な企業をターゲットにした新しいフィッシングキャンペーンに積極的に関与していると報告しました。報告書の主要な発見の一つは、it.com Domains LLCのような動的DNSプロバイダーからのレンタル可能なサブドメインの使用を特徴とするScattered Spiderメンバーの戦術の変化でした。
観察された攻撃の例として、Scattered Spiderの行為者は、ボストンに拠点を置くマーケティングオートメーション会社Klaviyoの類似ドメインklv1.ioを偽装するために、新しいサブドメインklv1.it[.]comを設立しました。
Silent Pushの報告書は、公開時点でその悪意のあるドメインがVirusTotalでわずか5件の検出しかされていなかったと指摘しています。同社はまた、公開レンタル可能なサブドメインの使用がセキュリティ研究者にとって課題をもたらすとも述べています。
「これは多くの脅威行為者が行うことです。彼らはこれらのサービスを利用しますが、ドメイン登録の指紋がなく、追跡が難しくなります」とSilent Pushの上級脅威研究者Zach Edwardsは言います。「しかし、Scattered Spiderでこれほどのことを見たことはありませんでした。」
関連記事:大手製鉄メーカーがサイバーインシデント後に操業停止
同様に名付けられたサイバーセキュリティ企業Push Securityも、Scattered Spiderの活動におけるこの傾向に気づきました。先週のブログ投稿で、Push Securityの研究者Dan Greenは、it.comを通じたレンタル可能なサブドメインが、.bizや.xyzドメインではなく、本物の.comドメインを持っているため、一部で正当なものに見えると述べました。
「これらの説得力のあるレンタル可能なサブドメインがオンライン上により頻繁に現れるようになると、攻撃者が本物のものからの明らかな逸脱が少ない説得力のあるドメイン名を取得することが容易になります。特別な文字や他の戦術に頼る必要がなくなるのです」とGreenは書いています。
GreenはDark Readingに対し、レンタル可能なサブドメインは「購入が安価で、居住証明や他のチェックが不要」であるため、攻撃者が簡単に取得できると述べ、今年の人気の急増に寄与していると述べました。
「レンタル可能なサブドメインで実行されているページがフィッシング検出コントロールをトリガーするケースがすでに大幅に増加しています。この変化はすでに起こっています」と彼は言います。
it.com Domains以外にも、サイバー犯罪者によって悪用されている他のDDNSプロバイダーがあります。3月の報告書で、Allure Securityは今年、特にDuck DNS、ChangeIP、No-IPなどのプロバイダーでのこれらのサービスの使用が増加していると指摘しました。
関連記事:国際犯罪組織が米政府から数十億ドルを詐取
Silent Pushは、Scattered Spiderによってターゲットにされた組織に対し、関連するドメインやすべての関連するDNSベンダーのサブドメインに対するアラートやブロックリクエストを持つことを推奨しています。Allure Securityは、新たに登録されたドメインを追跡するだけでは、DDNSプロバイダーを通じて設立されたサブドメインを見逃すと強調しています。また、削除リクエストのために偽装インシデントを文書化することも重要です。
サイバー脅威の「完璧なアーキテクチャ」
DDNSプロバイダーはサイバー脅威行為者を支援するための理想的なインフラストラクチャを作成する意図はなかったかもしれませんが、実際にはそれが起こっているとEdwardsは言います。ほとんどの脅威行為者は短期間しか悪意のあるサブドメインを必要とせず、これらのドメインをレンタルし、迅速に異なるIPアドレスに移行できる能力は攻撃者にとって大きな利点を提供します。
it.com Domainsの最高戦略責任者Joe Alagnaは、そのような特徴付けに反論しました。Dark Readingへの長い声明で、Alagnaは彼の会社の悪用防止ポリシーを強調し、it.com DomainsがScattered Spiderによって使用された偽のKlaviyoドメインに対して行動を起こしたと述べました。
「私たちは2月に登録された後、1〜2週間以内にそのドメインをオフにしました。これは私たちの悪用条件に従ったものです」とAlagnaは声明で述べました。
しかし、EdwardsはそれがScattered Spiderにとっては長すぎる時間枠だと主張します。
「彼らは数時間、せいぜい数日間しかドメインを使用しませんが、決して数週間も使用しません」と彼は言います。「それは本当に完璧なアーキテクチャです。これらのドメインを長期間オンラインにしたくないし、Googleの検索結果にランクインさせたくないし、攻撃を展開する準備が整うまで基本的に隠しておきたいのです。」
Alagnaは、it.com Domainsが世界中のほとんどのレジストリよりも強力な詐欺防止ポリシーを持ち、ICANNが提唱するほぼすべてのベストプラクティスに自発的に従っていると述べました。悪用を抑制するための取り組みの一環として、it.com Domainsは2023年初頭の会社の立ち上げ前に「サンライズ」期間を設け、商標保有者が一般公開前にサブドメインを登録できるようにしました。また、it.com Domainsは他の多くのDDNSプロバイダーが行っていないサブドメインのWhoIs情報を提供していることも強調しました。
「とはいえ、すべてのドメインレジストリの場合と同様に、最終的には商標保有者が自分の知的財産を監視し、防御する責任があります(そしてクライアントを保護します)」とAlagnaは声明で述べました。「紛争が発生した場合には彼らと協力することを約束していますが、すべての登録や使用事例をWeb全体で積極的に監視することはどのレジストリもできません。」
Scattered Spiderや他のサイバー犯罪グループもブランドドメインを監視し、機会をすばやく活用するとEdwardsは言います。そして、インターネットインフラストラクチャプロバイダーや企業自身よりもはるかに迅速です。例として、Silent Pushの報告書は、X(旧Twitter)が所有権を失効させた後、Scattered Spiderが以前に登録していたTwitterドメインtwitter-okta[.]comを迅速に再取得した方法を詳述しています。
Edwardsは、業界最大かつ最も信頼性のあるDDNSプロバイダーの一つであるit.com Domainsが、悪用防止ポリシーとメカニズムを持ち、報告に応じる実績を持っていることを評価しています。それでもなお、Scattered Spiderは最近の攻撃でit.comのサブドメインを使用しており、脅威行為者が自分たちの活動が阻止されることをほとんど気にしていないことを示唆しています。
「彼らは絶対にこれをもっとやり始めるでしょう」と彼は言います。「2025年に予想されるパターンの一つは、公開レンタル可能なドメインと動的DNSサービスの使用がますます増えることです。そして、すべての防御者がそのプロセスに備えているわけではないと思います。なぜなら、それらのドメインは非常に多く、数万のドメインが存在するからです。」