お気に入りの Web サイトにハッカーが隠れている可能性があります

セキュリティ研究者は、ドメイン シャドーイングがサイバー犯罪者の間でますます一般的になってきていることを詳しく説明しています。

Bleeping Computer が報告したように、Palo Alto Networks (Unit 42) のアナリストは、わずか 3 か月間 (2022 年 4 月から 6 月) で 12,000 件以上のそのようなインシデントに遭遇した方法を明らかにしました。

PC でいっぱいのオフィスに座っている、ハッキングされたコンピューターの描写。
ゲッティイメージズ

DNSハイジャックの派生物であるドメイン シャドウイングは、正当なドメインに侵入して悪意のあるサブドメインを作成する機能を提供します。そのため、シャドウ ドメインは親ドメインに何の影響も与えないため、当然検出が困難になります。

その後、サイバー犯罪者はこれらのサブドメインを、フィッシング、 マルウェアの配布、コマンド アンド コントロール (C2) 操作など、さまざまな目的で有利に利用できます。

「これらの結果から、ドメイン シャドーイングは企業にとって積極的な脅威であり、大量の DNS ログを分析できる自動化された機械学習アルゴリズムを活用しないと検出が困難であると結論付けています」と Unit 42 は述べています。

攻撃者がアクセス権を取得すると、メイン ドメイン自体とその所有者に侵入し、その Web サイトのユーザーを標的にすることを選択できます。ただし、代わりにサブドメインを介して個人をおびき寄せることで成功しており、さらに、この方法に依存することで、攻撃者がはるかに長い間検出されずにいるという事実に加えて.

ドメイン シャドーイングの微妙な性質のため、Unit 42 は、実際のインシデントや侵害されたドメインを検出することがいかに難しいかについて言及しました。

実際、レポートで言及されている 12,197 のドメインのうち、VirusTotal プラットフォームが特定した悪意のあるドメインはわずか 200 でした。これらのケースの大部分は、侵害された 16 の Web サイトを介して 649 のシャドウ ドメインのネットワークを使用する個々のフィッシング キャンペーンに関連しています。

コンピューターの画面に表示されているシステム ハッキングの警告アラート。
ゲッティイメージズ

フィッシング キャンペーンでは、前述のサブドメインが偽のログイン ページを表示したり、ユーザーをフィッシング ページにリダイレクトしたりする方法が明らかになりました。これにより、基本的に電子メール セキュリティ フィルタが回避される可能性があります。

ユーザーがサブドメインにアクセスすると、Microsoft アカウントの資格情報が要求されます。 URL 自体は公式のソースからのものではありませんが、警告が表示されないため、インターネット セキュリティ ツールは正規のログイン ページと偽のログイン ページを区別できません。

レポートで文書化された事例の 1 つは、オーストラリアに本拠を置くトレーニング会社がユーザーにハッキングされたことをどのように確認したかを示していましたが、被害はサブドメインを介してすでに行われていました。再構築プロセスの進行状況バーが Web サイトに表示されました。

現在、Unit 42 の「高精度機械学習モデル」は、毎日作成される数百のシャドウ ドメインを発見しています。これを念頭に置いて、アドレスが信頼できるドメインでホストされている場合でも、データを要求する Web サイトの URL を常に再確認してください。