ほとんどの企業はフィッシングメール、ファイアウォール、エンドポイント保護に執着していますが、より静かで危険な脅威を見逃します。 企業は、ユーザーのブラウザでウェブアプリケーションがどのように振る舞うかを知っていますか? 時代遅れの第三者のスクリプトは、IT衛生の欠陥ではありません。
忘れられたドメインが攻撃ベクターになるとき
著名なBritish Airwaysの侵害で、攻撃者はLookalikeドメイン(baways dot com)を登録し、航空会社の正当なサイトで第三者のスクリプトを利用して顧客のクレジットカードデータをシフォン化しました。イギリス航空.com(本物のサイト) 偽サイト 誰もが気づいた時点で、最大半百万の顧客が脅かされていた。
さらに驚くべきことに、私たちの会社は最近、購入することができました。ボーイズ.com再び. それは放棄されていた. それ以来、我々はそれを保護し、現在は認識を高めるために侵害の歴史をホストしています. 現代のブラウザのサプライチェーンセキュリティツールが存在していた場合 (その旗を掲げることができる)ボーイズ.comルーマニアでリトアニアの割引プロバイダーによってホストされていたが、英国ではなく)侵害は防止された可能性がある。
これは古代の歴史ではありません。同じ基本的な攻撃ベクターはまだサイバー犯罪者に利用可能です. 多くの組織は、どのドメインが期限切れになったか、またはこれらのドメインがまだ何に接続されているかを知りません。
捨てられたドメインは黙ってはいけない
数ヶ月前、ベルギーのサイバーセキュリティ研究者インティ・デ・セュケレール(Inti De Ceukelaire)は大胆な実験を行い、かつて病院、裁判所、警察機関に所属していた100以上の期限切れのドメインを購入した。
さらに驚くべきことに、これらの眠っているメールボックスは、人々の個人的な健康データ、裁判所記録、内部警察のコミュニケーションを含む新しいメッセージを受け取り始めました。
これは、組織が古い接続を完全に断ち切れない場合に起こります。有効期限は、削除されていないことを意味するのではなく、脆弱であることを意味します。
ドメイン混乱がブランド信頼とセキュリティを損なう
アクティブなドメインでさえ、悪く管理された場合にセキュリティ上の問題を引き起こす可能性があります. Take the UK's Royal Mail, which sends users package tracking links using the domain.リメイクランダム化された文字列に続いて、この正確なフォーマットを模する詐欺テキストで、ユーザーは正当なものを信頼できるものではありません。いくつかのケースでは、ロイヤル・メールの自社のサポートスタッフは、自身のリンクを詐欺として誤認しています。
または、広範囲にわたるドメイン名を使用するHubSpotを考慮してください(ハブスピット.comで、hs-scripts.com についてで、トップページ > hsforms.comで、ハッピー.com, and others) for different services. If a business allows a script to connect to a domain like hs-hubapi dot net (not an actual known domain, but plausible enough), it might inadvertently run malicious code. Conversely, a legitimate script might be flagged as risky if the security team is not sure which domains are sanctioned. When domain management lacks clarity, both the security team and the end users are left guessing. ビジネスがスクリプトを許可して、hs-hubapi dot netのようなドメインに接続する場合。
Polyfill 侵害は、忘れられたコードが戻ってくるときに起こることを示しています。
最近のPolyfill事件はこの問題を家に持ち帰りました。 攻撃者は、これまで何千ものウェブサイトで使用されたオープンソースのライブラリにリンクされたDot ioドメインを購入しました。 プロジェクトはメンテナンスから外れていましたが、スクリプトはWarner BrosやMercedes-Benzを含む380,000以上のホストによって依然として積極的に参照されています。 妥協した後、Dot ioはそれを呼ぶすべてのページに悪意のあるコードを注入し始めました。
組織は今何をすべきか
リスクは現実的で、活発で、増加しており、規制当局は注意を払っています PCI DSS 4.0 は、例えば、現在(2025 年 3 月現在)すべての支払いデータを扱う組織にブラウザー スクリプトの監視を実装する必要があります。
攻撃者と監査官の両方に先立つために、組織は、ドメインとスクリプトのリスクを管理する方法を再考する必要があります。すべては、内部システム、ユーザアカウント、またはホストデータに関連するすべてのドメインの所有権を保持することから始まります(再ブランドやビジネス転換の後も長い間)。それはまた、起動する前に偽装攻撃や暗号攻撃を防ぐために、プロアクティブに lookalike ドメインを取得することを意味します。最も重要なことは、企業は、ページをロードする際にリアルタイムで疑わしいサードパーティのスクリプトを監視、検証、ブロックできるブラウザーベースのサプライチェーンセキュリティ戦略を導入すべきです。
現代のブラウザは、サイバーセキュリティの最もターゲット化された表面の1つです。JavaScriptのいくつかの目に見えない行や忘れられたドメインに依存するので、セキュリティチームは見逃す余裕がありません。
