GitHub Pagesの設定不備によるドメイン悪用

Roland Meertensは、自身のドメイン immersivepoints.com がGitHub Pages上で悪用されたことを発見した。DNSワイルドカード設定により、誰でもサブドメインを不正に使用できる状態になっていたという。

Meertensが所有する immersivepoints.com ドメインは3D・VR点群ビジュアライザー用のサイトであり、シンプルなHTML静的ページとして運用されている。先日、Meertensはアフリカへの出張中にGoogleサーチコンソールからメールを受け取った。kafka.immersivepoints.com というサブドメインに新しいオーナーが設定されたという内容だった。

DNS設定の悪用

Meertensは immersivepoints.com をGitHub Pages上にホストするため、DNSレコードをワイルドカード設定してGitHubサーバーへ転送していた。GitHub Pagesは、リポジトリ内のCNAMEファイルにドメイン名を記述することで、カスタムドメインでの静的ウェブサイト公開を可能にしている。しかし、この設定では誰でもCNAMEファイルを含むリポジトリを作成すれば、Meertensのドメインのサブドメインを使用できる状態になっていた。

不明なGitHubユーザーが kafka.immersivepoints.com を非公開リポジトリから設定した。このサブドメインには詐欺的なスロットマシンサイトが複数ホストされていた。

悪用の実態と報告

Meertensは「このドメインに関連してKafkaは一切存在せず、このサブドメインの新しいオーナーについて私は知る由もない」と述べ、サイトの本来の目的との無関係性を強調している。

Meertensはそのドメイン上でホストされた悪質なスロットマシン詐欺サイトの被害者がいないことを願っていると述べ、GitHub上での当該ページを報告した。Googleは既存のインデックス問題の影響で、詐欺的なサブドメインの多くをインデックスしなかった可能性がある。

認識される脆弱性

GitHub Pagesでは、ドメイン所有者によるサブドメイン利用の事前確認メカニズムが十分ではないことが明らかになった。GitHubは https://docs.github.com/en/pages/configuring-a-custom-domain-for-your-github-pages-site/verifying-your-custom-domain-for-github-pages で、ユーザーサイト向けのドメイン検証機能を提供している。しかし、Meertensの事例のように、ワイルドカード設定されたドメインではこの仕組みでは対策しきれないことが示唆されている。

筆者の見立て

• DNSレコードの設定をより適切に行うべきだったと論じている
• GitHub側でドメイン所有者の検証をより厳格に行うべきと考えている
• GitHub のリポジトリ設定ページで、ドメイン検証が完了していない場合に目立つ警告を表示することで改善できると予想している
• 初回のユーザーに対して、他のユーザーがサブドメイン上でGitHub Pagesをホストすることを許可する前に検証を要求すべきと考えている

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Roland Meertens、「My domain got abused on Github Pages」、https://meertens.dev/blog/github-enables-domain-abuse/ (2026年5月10日)(GitHub の報道による)