サブドメインの悪用が常態化
先週、LinkedInは大規模な世界的なサイバー攻撃の標的となった。
この攻撃は、本物のLinkedInのメールアドレス確認メールとほとんど見分けがつかないフィッシングメールという形で仕掛けられた。
異なる点はたった2つだけだった:
- そのメールは、なりすまされたサブドメインから送信されました。
- そのメールのHTML版にある「ここをクリック」というリンクは、悪意のあるサイトへと誘導していました。

このサイバー攻撃は、ユーザーが「ここをクリック」というリンクをクリックすると、コンピュータにマルウェアが侵入し、LinkedInの認証情報が盗まれる仕組みになっています。LinkedInの正規サイトがこの攻撃に関与していることは一切ありません。この攻撃は、ユーザーがメールを本物だと信じてしまうことに依存しています。
この種のメールのなりすましは日常茶飯事です。今回の攻撃が特異なのは、その規模の大きさです。先週、多数のdmarcianユーザーが、linkedin.example.org(ここでexample.orgはdmarcianユーザーに属するドメイン)という形式の悪用被害に遭いました。第2波の悪用では、linkedin-sub.example.orgという形式が見られ、ここでsub.example.orgはおそらく実在するサブドメインでした。
先週までは、dmarcianのユーザーが大量の偽サブドメインを目にすることはほとんどありませんでした。そのような事態が発生した際には、ユーザーと協力して、悪用をブロックするポリシーを展開していました。 先週、dmarcianの全クライアントアカウントの42%以上がこの攻撃に遭遇し、世界中の3,000以上のホストから10,000を超えるユニークななりすましドメインが確認されました。この種の悪用がこれほど広範囲に及ぶのは初めてのことであり、サブドメイン悪用が今や主流となったと断言せざるを得ません。
DMARCを使用して偽のサブドメインを拒否する
DMARCには、偽のサブドメインの使用を禁止する機能があります。サブドメインの悪用が常態化しつつある現状を受け、dmarcianの機能改善を行い、より多くの方が導入の初期段階からサブドメイン保護を利用できるようにします。
この変更により、dmarcianユーザーは以下の手順に従うことになります:
- すべての正規のサブドメインについて、明示的なDMARCレコードを公開してください。
- DMARCのサブドメインポリシータグを使用して、明示的なDMARCレコードを持たないすべてのサブドメインの使用を禁止します。設定例は以下の通りです:
親ドメインのDMARCレコード:v=DMARC1;p=none; sp=reject; rua=...
サブドメインのDMARCレコード:v=DMARC1;p=none; rua=...
サブドメインのDMARCレコードは、DMARCレコードの検出の仕組み上、sp=タグを使用する必要はありません。
このアプローチにより、ドメイン所有者は自分のペースでDMARCへの準拠を進められる一方で、(前述のLinkedInの悪用事例のような)偽のサブドメインの使用を阻止することができます。
当社は、このようなサブドメインの悪用からお客様を保護するため、DMARCプログラムを展開しています。この即効性のある保護策は、DMARC導入の初期段階で積極的に導入することが可能です。お客様のドメインにおけるサブドメインの悪用を防ぐ方法について、詳しくは当社までお問い合わせください。