数百ものサブドメイン。34大学。バークレーやコロンビアといった名門校のGoogle検索結果に、露骨なポルノが出現する。
これが、研究者アレックス・シャホフ氏が暴いた実態だ。悪意ある攻撃者は、エリート大学の.eduドメインを、デジタルな裏通りに仕立て上げていたのである。
杜撰なレコード管理、という言葉だけでは生ぬるい。
大学の信用を悪用する手口
ハジー・ホーク(Hazy Hawk)グループとされる攻撃者は、金庫を破るわけでも、学長を騙すわけでもない。ただ、忘れ去られたDNSの「パンくず」を拾っているだけだ。
サイト管理者がサブドメインを立ち上げ、例えば provost.washu.edu として、ある「正規化ドメイン」(canonical domain)を指すCNAMEレコードを設定する。プロジェクトは終了。サブドメインは廃止される。だが、そのレコードは?まるで昨日までのピニャータの紐のように、宙ぶらりんに放置される。
そこに現れるのが、機会をうかがう者たちだ。彼らは、忘れられた正規化ドメインを登録する。そして、ポン!——晴れて.eduサブドメインは、ブラジリアン・ジム・ポルノや「PCが感染しました」と謳う詐欺PDFを配信する場所と化す。
シャホフ氏はこう指摘する。「provost.washu.edu のようなサブドメインを委託する際、CNAMEレコードが作成され、サブドメインが『正規化』ドメインに割り当てられる。サブドメインが最終的に廃止される――これは様々な理由で頻繁に起こる――際、そのレコードは決して削除されない。」
「ハジー・ホークのような攻撃者は、古いレコードを乗っ取る形で現れる。これにより、彼らはその大学のサブドメインを乗っ取ったことになる。」
Googleのアルゴリズムが残りを処理する。.eduドメインは権威性を物語るため、これらの乗っ取りを高ランクに表示してしまうのだ。
数千ページがインデックスされる。統計データや因果推論を検索したら? casual.stat.berkeley.edu の xxx-porn-girl-and-boy-ej5210.html に直行だ。
品格があるね。
なぜ大学の評判に関わるのか?
大学は、何世紀にもわたる威信を、信頼の証であるドメイン名に凝縮させてきた。それが今や?サブドメインは偽のマルウェア警告や露骨な動画を売っている。
一例を挙げよう: hXXps://conversion-dev.svc.cul.columbia[.]edu/brazzers-gym-porn。コロンビア大学の工学部の雰囲気は、完全に台無しだ。
あるいは hXXps://provost.washu.edu/app/uploads/formidable/6/dmkcsex-10.pdf。これは学部長のオフィスファイルパスのはずが、ポルノだ。
入学を検索する親?学部長の近況を確認する寄付者?彼らがたどり着くのは、ここなのだ。評判への飛散物。
しかも、これは孤立した事例ではない。バークレーの統計学部、コロンビアのサービス、ワシントン大学セントルイス校(WashU)の管理ツール——すべてが汚染されている。シャホフ氏は少なくとも34機関を確認しており、Googleは数千もの不正な結果を表面化させている。
これは高度なサイバー犯罪ではない。怠慢が武器化されたのだ。管理者は、大規模IT部門では日常的なサーバーやキャンペーンの廃止後にDNSエントリを削除し忘れる。だが、大学はその広範な部署と人員の入れ替わりで、その惨状を増幅させている。
ここに辛辣な真実がある:これらの機関は世界のエリートを育成しているにもかかわらず、たった一つのDNSレコードを削除できない。犯罪の嵐の最中にフェラーリの鍵をつけたままにしておくようなものだ。
ハジー・ホークとの繋がり
別の研究者たちは、ドメインハイジャックで知られるハジー・ホーク・グループとの関連を指摘している。国家主体やエリートハッカーではない——ただ、期限切れや放棄された登録を嗅ぎつける詐欺師たちだ。
彼らは、古くなったCNAMEが指し示す正規化ドメインを乗っ取って占拠する。合法で、安価で、効果的だ。大学は、サブドメインが卑猥なコンテンツを配信する事実に気づくことになる。
SHコンサルティングの創設者であるシャホフ氏は、berkeley.edu、columbia.edu、washu.edu、そしてその他数十のドメインでこのパターンを発見した。彼の報告は警鐘となるはずだが、いつものように「悪意あるアクター」を非難するプレスリリースを出し、ITチームは慌てふためくだろう。
企業的な言い訳が続くだろう。
大学は根本原因——システム的なDNS衛生管理の怠慢——を認めようとはしないだろう。被害者を装う方が容易なのだ。
大学だけの問題なのか、それとも皆の問題か?
自分を欺くな。サブドメインを持つすべての組織が、この問題に直面している。eコマースサイト、銀行、さらにはテクノロジー大手でさえ、宙ぶらりんのDNSを抱えている。
しかし、大学はその影響がさらに大きい。.eduはSEOを強化するからだ。詐欺師は、その「光輪効果」を愛している――「causal statistics Berkeley」のような検索クエリが、ポルノや詐欺へのトラフィックを誘導する。
独自の洞察:これは2010年代のサブドメイン乗っ取りブームを反映している。当時、Sublist3rのようなツールがAWS S3バケットでの数千件の乗っ取りを暴いた。あの頃はクラウドの設定ミス、今はDNSの漂流だ。誰も学ばないから歴史は繰り返す。
大胆な予測:自動化されたDNS監査――ぶら下がったCNAMEをスキャンするツール――なしには、国家主体もこのパーティーに参加し、.eduをフィッシング認証情報ファームに使うだろう。
大学が今すべきこと
レコードを削除しろ。すべてだ。
すべてのCNAMEを監査しろ。dnsdumpsterやSubjackのようなツールは、孤児を素早くフラグできる。
ポリシーを実装しろ:DNSクリーンアップなしでの廃止は認めない。スクリプト化しろ。自動化しろ。
Googleのセーフブラウジングは役立つが、インデックス削除には時間がかかる――詐欺師は anyway 回転している。
そして、スタッフを教育しろ。担当者の交代は、プロセスの忘れにつながる。チェックリストを義務付けろ。
大学は威信ブランドに数百万ドルを費やしている。DNS衛生管理にポケットマネーを注ぎ込めば、顔を保てるかもしれない。
それが自動化されていないのは、嘆かわしい。
より広範なセキュリティ教訓
これは、テクノロジーが無視したがる真実を露呈する:ほとんどの侵害はゼロデイやAPTではない。設定ミス、忘れられた鍵、怠慢なクリーンアップなのだ。
シャホフ氏の発見は、我々に思い出させる――運用上のセキュリティ(opsec)は、基本から始まる。エリートドメインは、愚かさから免除されない。
詐欺師はそれにつけ込む。そしてGoogleのインデックスは、パーティーを続けさせる。
お前たちのDNSを直せ、エッグヘッドども。さもなければ、シラバスと一緒にポルノを配信し続けるがいい。
🧬 関連インサイト
- さらに読む: Kasetto、Rust製宣言型マジックでAIエージェントの混乱を解消
- さらに読む: パッケージマネージャーとは?
よくある質問
大学のサブドメインがポルノを配信する原因は何ですか?
サブドメイン廃止後に、CNAME DNSレコードが忘れ去られ、詐欺師が参照先のドメインを登録してトラフィックを乗っ取ることが可能になるためです。
どの大学がDNSサブドメインハイジャックの被害に遭いましたか?
UCバークレー(berkeley.edu)、コロンビア大学(columbia.edu)、ワシントン大学セントルイス校(washu.edu)を含む少なくとも34校で、数百ものサブドメインが影響を受けました。
詐欺師はどのようにして「ぶら下がった」DNSレコードを悪用しますか?
彼らは、古いCNAMEレコードの正規化ドメインを登録し、大学のサブドメインをポルノや詐欺サイト、あるいはそれ以上のものに制御します。これらはすべて.eduのSEO効果によってブーストされます。
