## この記事でわかること - 大企業で実際に起きたサブドメインテイクオーバー事例 5 件の概要 - 攻撃者の発見経路と悪用方法 - EC・スタートアップ・制作会社が学ぶべき教訓 - 自社で同じことが起きていないか確認する手順 > **注意**: 本記事は公開された Bug Bounty / セキュリティ報告書を整理したものです。各事例の詳細は引用元(HackerOne / 各社のセキュリティブログ)でご確認ください。 ## 事例の俯瞰 ![代表的なサブドメインテイクオーバー事例](/blog/subdomain-takeover-cases/cases-overview.svg) ## 事例 1: Microsoft(複数報告、2017〜2019) **手口**: Azure / Office 365 関連サブドメインで、SaaS 解約後の dangling CNAME が発見されました。攻撃者は Azure 上で同名のリソースを再取得し、microsoft.com 系ドメイン経由で任意コンテンツが配信できる状態に。 **学び**: 大規模クラウド事業者でも、内部部門ごとに作ったサブドメインの整理は追いつかない。中堅以下のサイト運営者では尚更です。 ## 事例 2: Starbucks(2020) **手口**: 過去のキャンペーンで使った Microsoft Azure リソースへの CNAME が dangling 状態。研究者が再取得して PoC を提出し、Bug Bounty で報酬。 **学び**: 「短期キャンペーンで切ったサブドメインを終了時に DNS から消す」運用ルールがないと再現する。 ## 事例 3: Uber(2017) **手口**: AWS S3 へ向く CNAME で S3 バケットが既に削除済み。攻撃者が同名のバケットを作成すれば任意ファイルを配信できる状態。 **学び**: AWS S3 のテイクオーバーは「同名バケットの作成」で成立。S3 を解約する際は CNAME 削除と「バケット名の自社占有」をセットで。 ## 事例 4: Shopify ストア(多数) **手口**: 個人事業主や EC スタートアップが Shopify でストアを開設 → 後で別 EC に移行 → Shopify アカウントを解約したのに、独自ドメインの CNAME を消し忘れる。 **学び**: SaaS の解約フローには「DNS の整理確認」が含まれていないことが多い。**自社チェックリスト**で補う必要がある。 ## 事例 5: Heroku アプリの dangling(一般的なパターン) **手口**: Heroku アプリを試作 → 本番に使わず削除 → CNAME を消し忘れた `*.herokuapp.com` への dangling。Heroku は同名アプリの再作成が誰でも可能なので、攻撃者が即座に占有可能。 **学び**: PaaS(Heroku / Vercel / Netlify 等)の dangling CNAME は最も発見・悪用が容易な部類。優先的に棚卸しすべき領域。 ## 攻撃者の発見経路 ![攻撃者がテイクオーバー候補を見つける経路](/blog/subdomain-takeover-cases/attacker-flow.svg) 1. **CT log の収集**: crt.sh / CertSpotter で対象ドメインの全サブドメインを取得 2. **DNS 解決**: 各サブドメインの CNAME を確認、SaaS パターンに合致するものをマーク 3. **SaaS 占有確認**: CNAME 宛先の SaaS にアクセスして解約エラーが返るか確認 4. **占有試行**: 解約済リソース名を SaaS で再取得 このフローは自動化されており、**Bug Bounty ハンターも攻撃者も同じスクリプト**を使います。先に自社が棚卸ししないと負けます。 ## サイト運営者への教訓 | 教訓 | 具体策 | |---|---| | 「使わなくなった SaaS」が最大の盲点 | SaaS 解約時の DNS 整理ルール化 | | 退職者・部署異動の時に整理漏れ | 退職時チェックリストにドメイン項目を追加 | | 過去のキャンペーン用サブドメインが残骸 | 期間限定 SaaS 利用には終了期限を DNS に記録 | | 自社が把握していないサブドメインがある | CT log で定期棚卸し(半年〜1 年に 1 回) | ## 自社で同じことが起きていないか確認 ドメイン番人の [サブドメイン棚卸し 単発チェック](/subdomain/check) で 30 秒で確認できます。CT log + DNS 解決確認 + 11 種の既知 SaaS パターン(GitHub Pages / Heroku / S3 / Netlify / Vercel ほか)への dangling CNAME 検出をまとめてレポートします。 ## まずは現状を把握しましょう 棚卸しと是正の支援は [サブドメイン棚卸し+テイクオーバーリスク診断](/contact)(5 万円〜)でご相談ください。 関連記事: - [サブドメインテイクオーバーとは?仕組みと EC・スタートアップ・制作会社への影響](/blog/subdomain-takeover-toha) - [dangling CNAME のリスクと検出方法](/blog/dangling-cname-risk) - [GitHub Pages のサブドメインテイクオーバー対策](/blog/github-pages-subdomain-takeover) - [Heroku のサブドメインテイクオーバー対策](/blog/heroku-subdomain-takeover) - [AWS S3 のサブドメインテイクオーバー対策](/blog/aws-s3-subdomain-takeover) 総合点検は [無料のドメイン診断](/diagnose)、SSL 単独は [SSL 単発チェック](/ssl/check) をご利用ください。