TechCrunch Japanese アーカイブ » Network Solutionsが未使用サブドメインをハイジャック via kwout

これまたありえない話だが、数日前に実際に起きていたようだ。TechCrunchの記事によると、Network Solutionsは顧客が使用していないサブドメインへのアクセスを勝手にダミーページに飛ばしていたらしい。(実際にはサブドメインへのDNSクエリーに対してダミー用のAレコードを返していたようだ。) ドメインハイジャックとも言えるし、タイポスクワッティングと言ってもいいかもしれない。とにかくやっていることがヒドい。

しかしこの場合、セキュリティ上の問題はさらに大きい。なぜなら(存在しない)サブドメインが全てこのダミーページに飛ばされるということは、仮にこのページにXSS脆弱性が存在した場合、元のドメインで発行されていた Cookie情報が第三者に漏洩する危険があるからだ。

いろいろ批判されたからかどうかは知らないが、現在では存在しないサブドメインへのアクセスは 404 Not Foundになるようだ。あるいはNSはこうなることは予想した上で、確信犯的に反応を試してみたのかもしれない。