1

ドメイン登録情報の不正書き換えによるドメイン名ハイジャックが発生

こんにちは。陳です。
今年からテックブログで記事を書くことになりました。これからよろしくお願いします!

さて、ハイジャックと聞くと、なにか事件性を感じるのは私だけではないはず。
ちょっと調べてみました。

ハイジャック(Hijack)は、元来、乗物や運送中の貨物を強奪することで、1920年代のアメリカで密造酒を輸送するトラックや船舶から積荷を強奪する行為を指した。現代では、武器による脅迫などの暴力的手段を用いて交通手段(航空機、鉄道、船舶、バスなど)を占拠する行為を指す。日本では、特に航空機の占拠行為を指してこの語を用いることが多い。
参照)Wikipedia http://ja.wikipedia.org/wiki/%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF

 

このハイジャックですが、オフラインだけではなくオンラインでも事件が起きています。それが、ドメイン名ハイジャックです。被害として、攻撃者にドメインの登録情報が書き換えられたり、移管されたりすることがあります。さらに、入手したドメインを第三者に売ったりすることもあるようです。

昨年2014年9月から10月にかけて発生したドメインハイジャックでは、ドメイン登録情報(ネームサーバ情報)が攻撃者のものに書き換えられ、インターネット利用者が対象サイトにアクセスすると、偽サイトに接続するという事象が発生していました。この時の対象がgTLDの.comドメインだったので、攻撃者がアメリカの.comドメイン管理会社に不正アクセスし、ネームサーバのIPアドレスを書き換えたのではないかと考えられています。

日本国内組織が使っているいくつかの.comドメイン名も被害を受けています。なんと、かの有名な日本経済新聞(電子版)もそのうちの一つです。(情報漏えい等の報告はないようです。)

こうやって、偽サイトに誘導されたユーザーがマルウェアに感染する恐れがあり、フィッシングや情報漏えいが起こる可能性もあります。怖いですね・・・

 

ドメインハイジャックの手口ですが、いろいろとあります。

その前に、ドメイン情報の登録の流れを説明するとこんな感じです。(簡単に)
登録者 ⇒ (リセラー) ⇒ 指定事業者(レジストラ) ⇒ レジストリ ⇒ 権威DNSサーバ(またはWhoisサーバ)
最近は上記太字の指定事業者やレジストリが攻撃されるものが多いです。

ITproさんの以下記事にて詳しく説明されていたので、興味のある方はどうぞ。http://itpro.nikkeibp.co.jp/atcl/column/14/346926/120200120/

 

さて、手口の話に戻ります。
例えば、こういった手口など↓↓↓

● システムの脆弱性が利用され、登録情報を書き換えられる
ドメイン名を管理する組織である指定事業者(レジストラ)やレジストリが使っているシステムの脆弱性が突かれ、データベースが書き換えることがあります。不正アクセスのリスクを減らすには、適切な脆弱性の対応が必要でしょう。

● アカウント情報の漏えいで、登録情報を書き換えられる
攻撃者が何らかの手段でアカウント情報を入手して、登録者やレジストラ等になりすまし、登録情報を書き換えることも考えられます。なので、複雑なパスワードを設定てし、きちんと保管する必要があります。危険性を低減するため、ベーシック認証等を合わせて使うのが良いでしょう。

(2013年に海外のドメイン管理組織の Melbourne IT、Network Solutions、Register.com が管理しているドメインの登録情報が書き換えたことがあります。)

 

ドメイン管理会社(レジストラ・レジストリ)がシステムの脆弱性対応やアカウント情報の管理を行ってはいますが、ドメイン名利用者として、自分のものは自分で守るという姿勢で、自分でも定期的にドメイン登録情報(Whois)を確認すると良いのではないかと思います。

ドメイン登録情報を確認したことがないあなた!以下にいくつか方法を記載したのでぜひ挑戦してみてください。

確認方法:
●ターミナルを利用されている場合、Whoisやdig (dig -x)、nslookup等のコマンドで確認できます。
●ターミナルを利用されていない場合、下記サイトからも確認できます。
(他にも使いやすいサイトがあるかもしれません。)
http://whois.jprs.jp/ (JPRSに管理されているJPドメインやgTLDドメイン(.com/.org/.net/.biz/.infoなど))
http://www.networksolutions.com/whois/index.jsp (.com/.org/.net/.biz/.infoなど)
http://www.cman.jp/network/support/nslookup.html (dig、nslookupコマンドをそれぞれ実行できるサイト)

 

過去のドメイン名ハイジャックを軽く調べてみましたが、被害があったのは主にccTLDドメインや海外のgTLDドメインレジストラで、今のところJPドメインや日本国内のレジストリには影響は出ていないようです。
■ccTLDドメイン:.comドメイン、.my(マレーシア)、.nl(オランダ)、.qa(カタール)、.id(インドネシア)等
■海外のgTLDドメインレジストラ:Melbourne IT、Network Solutions、Register.comなど

 

せっかくなのでいくつかドメイン名ハイジャック関連の記事をご紹介しておきます。

JPRS「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html

JPCERT「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」
https://www.jpcert.or.jp/at/2014/at140044.html

日本経済新聞社「インターネットの根幹の仕組みに攻撃、本社も対象に」
http://www.nikkei.com/article/DGXLASDZ05H3S_V01C14A1000000/

それでは、今日はこのへんで!

Share on LinkedIn
LINEで送る
Pocket

hideki.fukumoto

hideki.fukumoto