こんにちは！Recept中瀬です。

本日はセキュリティ攻撃についてご紹介します。

それはある日突然に・・・

ある日、何となくメールボックスを開くと一通のメールが。

「〇〇@gmail.comがshop.△△.comの管理者に追加されました」

というメールがgoogleから届きました。

「また詐欺メールか・・・いや待てよ。差出人がgoogleだぞ・・・」

△△.comは保有しているドメインでした。

恐る恐るshop.△△.comにアクセスしてみると、ベトナム語みたいなパチスロのサイトに遷移します。

「乗っ取られた！」

落ち着いて調べる

しかし、△△.comに異常は見られず、shop.△△.comだけが謎に増えている・・・

一体何が起きているのでしょうか。

そう、これが脆弱性を突いたサイバー攻撃のひとつなのです。

サブドメインテイクオーバーとは

サイバー攻撃の名前ってかっこいいですよね。

誰が名付けてるんですかね、センスを感じますね。

さて、この攻撃はDNSサーバーの設定のミスを突いた攻撃になります。

謎に作成されていた、shop.△△.comはどうやらshopifyで構築されているようです。

そういえば以前にshopifyを使ってサイトを構築した記憶があります。

はい、これが原因です。

DNSレコードの消し忘れが原因

shopifyなどのCDNツールを利用するときに、自社のドメインを利用することができます。

shopifyなどのツールを使うと、構築したサイトのURLがデフォルトの設定になっていてどうもカッコ悪いのです。

そのため、ほとんどの人が自社でドメインを取得して、自身が管理するサーバーとshopifyを接続するのです。

この時に設定するのがDNSレコードとなります。

そして、仮にこのshopifyを解約したとしましょう。

このとき、DNSレコードの設定を削除し忘れると、サーバーのshopifyへの接続口だけが残った状態になります。

そして、ここにベトナムのパチスロサイトが再度接続されてしまうのです。

まとめ

アラートのおかげですぐに気付きましたが、なんの通知もなければ、メールに気を張っていなければ気づきませんでした。

CDNサービスを使った後の後始末は忘れないようにしましょうね。