DMARCが組織的なSPF悪用スキームの検知にどのように役立つか
この記事では、当社のサービスデリバリースペシャリストであるスティーブン・イアコヴィエロが、犯罪者が未解決のCNAMEやDNSエントリのエラーを悪用し、フィッシング攻撃のためにドメインを乗っ取っている実態について解説します。
DMARCの導入と管理を支援する日々の業務の中で、私たちは、不正なメールを送信しているにもかかわらずDMARCに準拠しているドメインを発見しています。これらのメールはSPF認証を通過しており、関連するSPFレコードのほとんどは悪用されたCNAMEに由来しています。その一方で、ドメイン所有者は、SPFレコードが不正に改ざんされていることに気づいていません。
原因:未解決のDNS CNAMEレコード
影響を受けている組織は多岐にわたり、どの業種も例外ではないようです。悪意のある攻撃者が、未解決のDNS CNAMEやDNSテキストレコードの入力ミスを悪用しているため、誰もが標的となっています。未解決のDNS問題を抱える多くのドメインは、CNAME経由で受け取ったSPFレコードが共通しており、組織的なCNAME悪用スキームの一環であると考えられます。
悪意のある攻撃者は、未解決のDNS CNAMEを特定し、インクルードとIPアドレスで構成される悪意のあるSPFレコードを追加することで、複数のドメインを標的にし、認証は通過するものの不正なメールを送信しています。
タイポスクワッティングや類似ドメインの悪用
同じ破損したSPFレコードを共有しているCNAMEの一部は、ドメイン所有者側の入力ミスによって追加された可能性のある、類似ドメインに由来しています。公開されている記録によると、攻撃者は、スペルミスのあるCNAMEがDNSに追加された後に、そのタイポスクワッティングドメインを登録していることが分かっています。
CIDR(クラスレス・インタードメイン・ルーティング)マスクの入力ミスさえも標的となっています。例えば、ユーザーが「/32」と入力するつもりが、誤って「/3」と入力してしまった場合などです。このような場合、「/3 」という短い数値では、本来「/32 」で割り当てられる 1つのIPアドレス に対して、数百万ものIPアドレスが割り当てられてしまいます。これにより、SPFレコードが悪用される余地が生まれます。
悪意のある攻撃者がこうしたミスを発見すると、SPF認証を通過する偽のメールを送信し始めます。我々は、攻撃者がDNSレコードをスキャンして悪用できるタイプミスを探し出し、それを狙ってドメインを登録していると見ています。こうした状況下では、攻撃者はわずか数週間でDNSレコードのタイプミスを見つけ出し、フィッシング攻撃を開始することが可能です。
悪用されたドメインに見られる共通点
CNAMEの悪用が確認されたドメインには、すべて共通する特徴が見られます。一部のCNAMEは、IPアドレスやインクルードをローテーションさせることで頻繁に変更される、同一のSPFレコードを指しています。
悪意のあるCNAMEを特定するのは難しい場合もありますが、そのSPFレコードの履歴を追跡することで評価することができます。一見何の関係もない複数のドメインであっても、それらがすべてまったく同じSPFレコードを共有しているかどうかを確認することで、悪意のあるCNAMEを特定することができます。
また、悪意のある攻撃者がこれらのSPFレコードを絶えず更新し、評判の悪いIPアドレスを新しいものに置き換えていることも判明しました。これにより、彼らは認証を回避しつつ、正当なメールインフラであるかのような外観を維持しているのです。
CNAMEの悪用を発見・防止する6つの方法
- DMARC、SPF、およびDKIMを設定してください。
- データを監視し、DNS内に未使用のCNAMEがないか確認してください。
- dmarcianアカウント内の「Alert Central」でアラートを設定し、DNSの変更があった際に通知を受け取れるようにしてください。
- 「ソースビューア」でソースを確認してください
- 送信済みメールの詳細を詳細ビューアで確認してください。
- タイムラインツールでDNSの変更履歴を確認してください。
dmarcianアカウントを定期的に確認しておけば、こうした悪質なSPFキャンペーンが開始される前に察知することができます。私たちは、皆様がDMARCを理解し、安全に導入できるようサポートいたします。CNAMEや当社のサポートサービスについてご質問がございましたら、お気軽にお問い合わせください。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
