ドメインネームシステム(DNS)は、インターネットのあらゆる場面で利用される。DNSには各サイトの「デジタルID」が全て格納されている。恐らく、セキュリティプロファイルの中で最も重要な構成要素といえるだろう。その結果、DNSを狙う脅威の件数が急増中だ。DNSリスクの中で最も多いものを3つ挙げる。いずれも、組織のセキュリティリストの中で、最優先課題とすべきものだ。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 2月22日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
企業は、「レジストラ」と呼ばれる業者からその企業専用のドメイン名を業務用として購入する。このレジストラに脆弱(ぜいじゃく)性が存在する可能性がある。企業がレジストラと契約して取得した自社アカウントを攻撃されて攻撃者にそのアカウントの制御を奪われると、攻撃者は自身が管理するサーバへアカウントの所有権を移す。この攻撃は(具体的に言えば)、攻撃者がアカウントのパスワードを破るか、レジストラのサポートスタッフに対してソーシャルエンジニアリングを仕掛け(てパスワードを取得し)た場合に発生する。
このリスクを最小限に抑えるには、とにかくアカウントのパスワード管理を強化することだ。従って、多要素認証や自社専属のアカウントマネジャー(レジストラ側の窓口担当者)など、アカウントのセキュリティを強化する高度なオプションを提供しているレジストラを選択するのが望ましい。そのオプション(プレミアサービス)を適用するとアカウント使用料を上乗せすることになるだろうが、セキュリティの強化にはそれだけの価値がある。
前述の「レジストラの乗っ取り」の次に多い攻撃は、「タイポスクワッティング」だ。いつもの手口でパスワードを破ることができなかった攻撃者は、わなを仕掛けてユーザーをおびき寄せることがある。タイポスクワッティングとは、偽のドメイン名を登録しておく攻撃だ。その偽ドメイン名は、(標的とする)企業が所有する正規のドメイン名に非常に似ている。攻撃者はこの攻撃を仕掛けてWebトラフィックを不正なサイトに誘導し、さまざまな種類のフィッシング攻撃を仕掛ける。
この脅威への対策のベストプラクティスは、自社ドメイン名に類似している新規登録ドメイン名がないかどうかを定期的に監視することだ。デジタル空間における自社ブランド管理と保護の業務を代行してくれる業者も存在するので、必要ならば委託する手もある。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 2月8日号 NVMe over Fabricsに高まる期待
Computer Weekly日本語版 1月25日号 ARMが進めるIoT戦略
Computer Weekly日本語版 1月11日号 家庭内のIoTデバイスを守れ!
東京オリンピック・パラリンピック延期でサービス業の約40%が業績悪化を懸念――リスクモンスター調査
東京オリンピック・パラリンピックの延期によって自社の業績が変化すると考えているのは...
Cookie利用規制が今必要な理由を整理する
個人情報保護の観点から、広告・マーケティングにおけるCookieの利用をはじめとしたデー...
地銀カードローンのWebサイトに6つの勝ちパターン、64行ランキングトップは百五銀行――WACUL調査
WACULテクノロジー&マーケティングラボは3万サイトのデータをベースに作った評価基準を...
ITmediaはアイティメディア株式会社の登録商標です。
