ドメイン保護の再考

2022年4月25日

ドメイン保護会社のCSCが昨年発表した調査レポート「Domain Security Report: Forbes Global 2000 Companies」によると、フォーブスグローバル2000企業の81%が、自社ドメイン名を保護するための一般的な方法であるドメインレジストリロックを使用していないことが明らかになっている。

ドメインレジストリロックとは、ドメイン名の登録情報が意図せず書き換えられることを防ぐために、対象となるドメイン名の情報変更を制限するサービスで、ドメインセキュリティ対策の基本とも言える。
それを採用していないということは、これらの企業はフィッシング攻撃やビジネスEメールの漏洩、さらにはランサムウェアの影響を受けやすくなっていることを意味する。
また、標準的なEメール認証方法となっている DMARC (Domain-based Message Authentication and Conformance)レコードを利用している企業は50%にとどまっており、その採用率はITソフトウェア/サービス業界では74%とかなり高いのに対し、食料品業界では38%と業界によって大きく異なっている。

他にもこのレポートでは、全体の57%は、ドメインやDNS(※1)のハイジャック、分散型 サービス拒否 (DDoS ※2)、中間者攻撃 (MitM ※3)などに対する保護が限定的であることや、フィッシングやブランド乱用によく使われるホモグリフドメイン (別のドメインと似ているようにデザインされたドメイン)の70%は、第三者によって所有されていること、さらに第三者が所有するドメインのうち、60%が2020年から2021年前半にかけて登録されたものであることが示されている。このことから、COVID-19によるパンデミックによりこのような攻撃手法が加速していると考えられる。

このような背景には、ドメインの基本的なセキュリティ対策は、企業が行う広範なフィッシング、BEC (Business Email Compromise – ビジネス用Eメールの侵害)、ランサムウェア対策に不可欠な要素とは考えられていない可能性がある。正当なドメインを保護すると同時に、悪意のあるドメインを並行して監視することに重点を置くことは、企業が保護された状態を維持し、サイバーリスクを軽減するために、より優先される必要がある。さもなければ、企業は、サイバーセキュリティの態勢、データ保護、知的財産、サプライチェーン、消費者の安全、収益、評判に対する重大な脅威にさらされていることになる。

フィッシングは通常、正規のドメインの侵害、悪意のあるドメイン登録、メールヘッダーの偽装によって行われる。ハッカーが安全でないドメインをコントロールできるようになれば、世界中の企業や顧客を悩ませ続けているフィッシングを実行するための簡単な抜け穴となってしまう。今一度、自社のドメイン対策を再考してみる価値はありそうである。

※1: Domain Name Systemの略称。 インターネット上の名前であるホスト名(ドメイン名)とインターネット上の住所であり、 数字で構成されるIPアドレスを対応づける仕組み。「インターネットの住所録」と言える。
※2:ウェブサイトやサーバーに対し過剰アクセスや大量データ送付を行うサイバー攻撃である「DoS攻撃(Denial of Service attack/サービス拒否攻撃)」を複数のコンピューターから大量に行うことを「DDoS攻撃(Distributed Denial of Service attack/分散型サービス拒否攻撃)」と言う。
※3:中間者攻撃(MITM)は、 企業や個人の間で送信される情報を傍受するサイバー攻撃。