パスワードわらしべ長者
111111→admin→amagasaki2022→correcthorsebatterystaple
概要
Subdomain Takeoverとは、組織が管理するドメインのサブドメインが、攻撃者によって不正に制御されてしまう脆弱性のことです。
って発生し、企業のブランド毀損やフィッシング詐欺、情報漏洩に直結する重大なリスクとなります。
この脆弱性は、DNS設定は残っているが、参照先のWebサービスが存在しない状態「Dangling DNS(宙ぶらりんのDNS)」によって引き起こされます。
発生メカニズム
サブドメインテイクオーバーの例をいくつか挙げます。
CNAME を経由したパターン
foo.example.com CNAME foo-1234.serviceprovider.net のように設定する
serviceprovider.net 側で foo-1234 に対応する設定を作成する
後にサービス利用を終了し、foo-1234.serviceprovider.net を削除する
しかし foo.example.com の CNAME は削除しない
サービス事業者の仕様上、第三者が同じ foo-1234 を取得できる場合、第三者が foo.example.com の表示内容を制御できる
GitHub Pages、Heroku、Vercel、S3 など、CNAME でカスタムドメインを向けるサービスで発生することが多いパターンです。
NS によるサブドメイン委譲のパターン
zone.example.com NS ns1.dns-provider.com のように、サブドメイン全体を別 DNS へ委譲する
委譲先の DNS ゾーンを削除する、あるいは契約を終了する
しかし親側の NS 設定は残る
委譲先の DNS ホスティングサービスで、第三者が同じゾーン名を取得できる場合、zone.example.com 以下の全サブドメインの制御を第三者が持つことになる
この場合、ウェブだけでなく、メールや他プロトコルのレコードも影響を受けます。
SaaS のカスタムドメイン設定のパターン
Notion や各種ナレッジツール、フォームサービスなど、多くの SaaS がカスタムドメイン機能を提供しています。
組織側が docs.example.com などを SaaS に向ける
SaaS 側でワークスペースやサイト構成を変更・削除する
DNS の CNAME や A レコードが残ったままになる
SaaS 側の仕様や連携サービスの構成によって、第三者が同じホスト名を自分のワークスペースに割り当て可能な場合、サブドメインテイクオーバーが起きる
サービス側の仕様と連携関係に依存するため、個別の解析が必要になる領域です。
想定される影響
サブドメインテイクオーバーが成立すると、攻撃者はそのサブドメイン上で任意のコンテンツを公開できます。想定される影響は次のようなものです。
組織のドメインを用いたフィッシングサイトの公開
ログインフォームや問い合わせフォームを装い、認証情報や個人情報を入力させる
マルウェアや悪意あるスクリプトの配布
ダウンロードページ、CDN 的な配布 URL を装う
既存コンテンツの置き換えによるブランド毀損
公的機関の *.go.jp や企業ドメインでの広告・違法サービスの宣伝など
ソフトウェアサプライチェーンへの介入
ライブラリやアセット配布に使われていたサブドメインを乗っ取り、バイナリやスクリプトを差し替える
特に、npm などのパッケージエコシステムで報告された事例では、配布バイナリの置き換えによって開発者環境でコードが実行されるため、単なるサイト改ざんよりも深刻な影響が生じ得ます。
インシデント例
*.go.jp のサブドメイン乗っ取り
2025 年にかけて、いくつかの省庁のサブドメインで、サブドメインテイクオーバーが可能な状態や、実際の乗っ取り事例が報道されています。
過去に利用していた外部サービスへの CNAME / NS が残った
参照先のサービスやゾーンが削除され、第三者が再取得可能な状態になった
一部のサブドメインでは、オンラインカジノへの誘導ページなどが設置された
go.jp ドメインの特性上、「正規の政府サイト」と誤認されやすく、フィッシングや虚偽情報の拡散に利用されるリスクが高い事例です。
npm エコシステムにおけるケース
assets.npmjs.com ドメインのDNS CNAMEレコードが、使用されていないAmazon S3バケットを指していることを悪用しました。攻撃者はそのS3バケットを自らの管理下に置き、広く利用されているbignum npmパッケージの古いバージョンがインストール時にダウンロードするバイナリファイルに悪意のあるペイロードを挿入しました。これにより、当該パッケージをダウンロードしたシステムにマルウェアが配信される可能性がありました。
Notion 連携サブドメインの事例
notion.yumemi.co.jp については、以前は Notion を基盤としたオープンハンドブックの公開に利用されていたサブドメインが、2025 年にオンラインカジノの宣伝ページに変わっていたことが SNS 上で指摘されています。
ゆめみのオープンハンドブック、サブドメインテイクオーバーされとりますね。DNSのレコード消さずにNotionの設定変えちゃったかー。 pic.twitter.com/YVEnR3z1Kp
— にゃんだーすわん (@tadsan) November 19, 2025
まとめ
サブドメインテイクオーバーは、技術的にはそれほど複雑ではありませんが、
DNS 管理
SaaS / クラウドの契約管理
プロジェクトの開始・終了フロー
といった複数の分野にまたがるため、運用の中で見落とされやすい問題です。
バグバウンティで報奨金が割り当てられた事例もあるため、ぜひ確認してみてください。