イージスEW
AEGIS-EW
野良端末検出機能(サブドメイン検出)
Shadow IP:野良端末の検出
ASMによるサブドメイン探索機能(野良端末の検出)について
ASM(Attack Surface Management)は、組織が保有する攻撃対象面(Attack Surface)を可視化し、管理するための手法です。サブドメインは、その攻撃対象面における重要な一部を成します。サブドメインは、企業のメインドメイン(例えば`example.com)の下に配置され、独自のウェブアプリケーションやサービスを提供するために使用されます。
サブドメインの管理は、セキュリティにおいて非常に重要な要素です。
ASM(Attack Surface Management)の観点から、サブドメインサーチを行う理由や、その必要性について説明します。
また、サブドメインの放置が引き起こすリスクや、DNSに登録されたAレコードを削除するだけでは不十分な理由を掘り下げて説明します。
なぜ、ASMでサブドメインサーチを行う必要があるのか?
サブドメイン探索機能は、企業や組織が自分の管理下にあるすべてのサブドメインを把握し、攻撃者に悪用される前に脆弱性を発見するために行われます。
サブドメインを探す理由は以下の通りとなります。
- 攻撃対象面の可視化
サブドメインサーチは、サーバーやアプリケーション、データベース、その他のインフラがどのように公開されているかを特定する手段です。企業が知らない間に公開されたサブドメイン(特に開発環境やテスト環境)が存在する場合、攻撃者にその隙間を突かれるリスクが高まります。 - 放置されたサブドメインの発見
時折、古いサービスや開発用サーバーが運用停止後もサブドメインとして残っていることがあります。これらのサブドメインがそのまま放置されると、セキュリティパッチが適用されないままインターネットに公開され続け、攻撃者のターゲットになりやすくなります。サブドメインサーチを行うことで、放置されたサブドメインを発見し、管理・修正することができます。 - 外部の攻撃者による悪用防止
放置されたサブドメインは、脆弱性が存在する可能性が高いため、攻撃者にとっては格好の標的になります。例えば、セキュリティアップデートが適用されていない古いサービスや、開発中の未完成なシステムがそのままインターネット上に公開されていると、攻撃者がそれを利用してシステムに侵入しやすくなります。
また、サブドメインは、しばしば異なるシステムやプロジェクトに分割されている場合が多いです。各プロジェクトごとに、それぞれ異なるセキュリティ管理がなされています。例えば、admin.example.com や dev.example.com など、適切にアクセス制御されていないサブドメインが存在すると、そのサブドメインを経由してメインドメインへのアクセスが得られる可能性があります。これを防ぐためには、サブドメインごとの権限管理とサーチが不可欠です。
例:開発環境やテスト環境のサブドメインがインターネット上でアクセス可能な場合、攻撃者はそれをターゲットにしてSQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を突く可能性があります。
攻撃者も同様にサブドメインを特定し、脆弱なサービスや管理ミスを突くことがあるため、定期的なサーチが欠かせません。
サブドメイン探索機能の手法
サブドメイン探索機能では、公開されているサブドメイン情報を元に、ドメイン名解決情報(DNS)を調べたり、公開されている情報を収集して調査します。
なお、イージスEWにおいて、サブドメインについては、次の方法を組み合わせて検出しております。
- ドメインから容易に推測ができるものをDNS正引きして検出
(例:exeo.co.jpから、www.exeo.co.jpやmail.exeo.co.jpなど) - 検出したIPアドレスからの逆引き
- グローバルIP上で運用されているパケットスニッファーから該当ドメインに関するDNS応答履歴を保存したDBより検出
なお、DNS逆引きからサブドメインを取得する方法は、必ずしも成功しません。
セキュリティ上の理由から、逆引き禁止に設定されている場合もあります。
また、パケットスニッファーの保存期間以前のサブドメイン情報は取得されません。
このため、サブドメイン調査結果は、ベストエフォートとなります。
まとめ
サブドメイン探索機能は、攻撃対象面を可視化して、管理していないサブドメインを発見するために不可欠な作業です。
サブドメインを放置することは、セキュリティリスクを大きく高めることになります。
不要なサブドメインの削除や、脆弱性の早期発見・修正を行うことが、企業のネットワークセキュリティを強化するための重要なステップとなります。◆CVE(Common Vulnerabilities and Exposures)の詳細。