国家支援型および犯罪組織の双方のサイバー脅威アクターが、悪意あるキャンペーンに利用するためにインターネットドメインを積極的に乗っ取っています。
英国政府デジタルサービス(UK Government Digital Service)で脆弱性モニタリングのサービスオーナーを務めるニック・ウッドクラフト氏は、6月5日にInfosecurity Europe 2025のパネルに招かれました。
同氏は、市民、政府職員、そして国家のサービスを結ぶ重要なリンクである .gov.uk のDNS名前空間内のドメインを保護するための対策を、英国政府内で実装してきた経験を共有しました。
講演の中でウッドクラフト氏は、.gov.uk の名前空間を「複雑な怪物」と表現し、4000の組織にまたがる7000以上の異なるサブドメインが存在すると述べました。
「これらは、大規模な政府機関から、小規模な教区評議会を個人が管理しているケースまで、規模の幅が非常に広いのです」と同氏は説明しました。
Nominetのレジストリサービス・スペシャリストであるゴードン・ディック氏は、.gov.uk の名前空間を保護するためにウッドクラフト氏と協力しています。
同じパネルに招かれた同氏は、これらのサブドメインが多数のサイバー脅威に直面しており、その主要なものがDNSハイジャックであると指摘しました。DNSハイジャックとは、攻撃者がDNSクエリの解決方法を意図的に操作し、ユーザーを悪意あるウェブサイトへリダイレクトするDNS攻撃の一種です。
DNSの脅威は政府にとって最上位クラスのリスク
科学・イノベーション・技術省(DSIT)の一部である英国政府デジタルサービスに2018年に着任したウッドクラフト氏は、InfobloxおよびNominetと協力して、政府のDNS名前空間のセキュリティ強化に取り組みました。
同氏は、自身とパートナーが行ってきた取り組みは、4つの主要ステップで説明できると述べました。
- 英国の内閣府(Cabinet Office)により、DNSの脅威が最上位クラスのリスクとして認識されるようにした
- .gov.uk のDNS名前空間のオーナーシップを担う担当者を指定した
- 名前空間に紐づくすべてのサブドメインと関連する文脈情報(例:有効期限や各サブドメインの所有者)を洗い出し、「巨大な」データベースにインベントリとして登録した
- すべてのサブドメインを日次で継続的に監視している
「現在では、私たちのサブドメインのいずれかを利用している各組織に代わって監視を行い、どこにリスクや脅威があるのかを伝え、潜在的な問題や期限切れが近いドメインについて警告できるようになっています」とウッドクラフト氏は説明しました。
DNSセキュリティに関する推奨事項
パネルセッションの中で、ウッドクラフト氏はDNSの脅威を軽減したい組織に向けて助言を提示しました。
内容は以下のとおりです。
- ドメインを監視する担当者がDNSの仕組みを十分に理解しており、DNSハイジャックのようなDNSの脅威を検知・軽減できるよう訓練されていることを確認する
- レジストラおよびホスティングプロバイダが、二要素認証(2FA)を含む最先端のセキュリティを有効化できることを確認する
- サプライチェーン内のドメインについても、可能な限り最善のセキュリティ対策が実装されていることを確認する
- 自社ドメインに似た見た目の、悪用され得る類似ドメインを監視する
翻訳元: https://www.infosecurity-magazine.com/news/infosec2025-dns-hijacking-uk/
