プライスウォーターハウスクーパースのドットコム上の忘れられたサブドメインが、ポルノサイトやアプリの広告をホストするためにハイジャックされました。これは、企業の DNS レコードを無視してはいけない理由をうまく示しています。
開発者兼セキュリティ研究者のヴィタリ・フェドゥロフ氏は今週、 The Register紙に対し、pwc.comのサブドメインに、ネットユーザーをアダルトサイト、アダルトアプリ、ブログ、成人向けチャットルームに誘い込むためのアダルト広告が多数掲載されているのを2度発見したと語った。これらの広告はウェブ検索にも表示される。
サブドメインamyca-devapi.pwc.comはその後オフラインになり、IP アドレスに解決されなくなりましたが、Google のエントリは今のところ残っています。
Google に表示された PwC のサブドメインのスクリーンショット。18 歳以上向けのあらゆるコンテンツをホストしている。
画像検索エンジンを運営するフェドゥロフ氏は、政府契約を扱う大手会計事務所にとって、2回というのは多すぎると語った。
「同社は政府機関を含む様々な企業にセキュリティサービスを提供しているため、今回のインシデントを公表すべき時が来たと考えています」と彼は述べた。「また、同社とのやり取りから判断すると、他の大企業が行っているようなバグ報奨金制度などを通じてサイバーセキュリティコミュニティを支援することには関心がないように見えます。」
PwCはコメントを控えたが、フェドゥロフ氏とエル・レグ氏は両者とも、どのようにしてサブドメインが乗っ取られ、下品な広告が貼り付けられたかを突き止めることができた。
PwCによって作成されたサブドメインは、amyca-dev-node.azurewebsites.net会計担当者がクラウド上で何らかのAPI開発システムをホストするために作成したカスタムMicrosoft Azureサブドメインである を指していました。ある時点で、この会計業界の巨人はamyca-dev-nodeサブドメインの有効期限を失効させたため、悪意のある人物が登録できるようになりました。人々や検索エンジンのボットが にアクセスするとamyca-devapi.pwc.com、ハッカーが管理する に誘導されamyca-dev-node.azurewebsites.net、そこには悪意のある人物が望むあらゆるもの、つまり回転する一連のきわどい広告が含まれていました。
つまり、PwC ネットワーク自体やドットコム サイトのその他の部分への侵入はなく、DNS トリックと、誰かが侵入して自分自身で再登録した忘れられた Azure サブドメインが使用されただけです。
Azure クラウド接続をホワイトリストに登録して Office 365 をスムーズに動かすにはどうすればいいでしょうか? それについて...
続きを読む
これを検証するために、Azureのサブドメイン乗っ取りを以前に研究したセキュリティ企業Vullnerabilityの情報セキュリティ専門家、ヌーマン・オズデミール氏に話を聞きました。オズデミール氏は状況をざっと確認し、Azureの名前空間が「ハックリンク」と呼ばれる手法で乗っ取られていたことを確認しました。
オズデミール氏の説明によると、今回のケースでは、犯人はPwCとそのドットコムの評判を利用して、リンク先の卑猥なページを検索結果でより上位に表示するようにGoogleを操作しようとした可能性が高い。これはSEOの特に不正な形である。
「サブドメインはGoogleに『これはPwCのウェブサイトです』と伝え、Googleにとって高いドメインオーソリティを持つのです」とオズデミール氏はThe Register紙に語った。「そのため、Googleはこのハッキングされたウェブサイトを信頼し、閲覧を許可するのです。」
オズデミール氏はまた、犯人らが事件を隠蔽するために、Azureクラウドのサブドメインにデフォルトで「近日公開」ページを残し、不適切な広告は別のページ(例: )に配置するなど、相当の努力を払っていたとamyca-dev-node.azurewebsites.net/my-example-awesome-adult-app.html指摘した。これにより、犯人らはサブドメイン上の不適切なページを2~3ヶ月間、つまりGoogleからの信頼を築くのに必要な期間、検知されずに維持することができた。
「ハックリンクを追加し、それがウェブサイト上で2週間しか掲載されなかった場合、Googleはこれを予期せぬものとして評価し、一般的にSEOスコアに悪影響を与えます」と彼は述べた。
オズデミール氏は、これはそれほど珍しいことではないと付け加えた。主要な大学や政府機関を含む他の大規模組織でも、同様に、忘れ去られたサブドメインやドメインが乗っ取られ、ポルノやそれ以上の悪質なコンテンツの提供に利用されるという事例が見受けられる。
しかし、それは企業の威信と信頼に傷をつけることになるでしょう。
卑猥な言葉を投げつけるハッカーがPwCのドメイン影響力から恩恵を受けているように、PwCもこうした怪しいページと関連付けられることで評判が損なわれる可能性があります。ここでの教訓は、DNS管理レコードを適切な状態に保ち、保守担当者を配置し、サブドメインの管理を怠らないことです。®
