「ドメイン登録情報の不正書き換えによるドメイン名ハイジャック」が発生
2014年11月6日 20:36
JPCERT/CCが、「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」を出している。レジストラ/レジストリに登録されているドメイン情報を書き換え、対応するIPアドレスを不正なものに書き換えることで、ユーザーに対し本来の接続先とは異なるサーバーへ接続させ、攻撃や情報の窃取などを行うという事例が複数報告されているという。
確認されたのは、国内組織が使用している.comドメイン名に関する不正書き換え。具体的なドメイン名については明らかにされていないが、日経新聞が「日本経済新聞 電子版」(nikkei.com)および「Nikkei Asian Review」(asia.nikkei.com)において影響があったことを記事にしている。また、.jpドメインについては今のところ問題は確認されていないようだ。
攻撃手法としては、以下の4点が考えられるという。
ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換える
レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
レジストラになりすまし、レジストリの登録情報を書き換える
レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える 注意喚起文書でも述べられているとおり、上記の2〜4についてはユーザー側での対策は不可能である。そのため、ドメイン名の管理に使っているIDやパスワードなどの適切な管理とともに、ネームサーバー情報などの定期的な確認などが推奨されている。
また、JPRSもこれに対する発表を行っている。これによると、誘導先の偽サイトでマルウェアが配布されている事例が確認されたという。
スラッシュドットのコメントを読む | ITセクション | セキュリティ | インターネット
関連ストーリー:
JPRSがDNSキャッシュポイズニング攻撃に対する緊急の注意喚起を出す 2014年04月16日
Faxを使った攻撃により、MetasploitとRapid7のドメインが乗っ取られる 2013年10月13日
ニュージーランドのレジストラがクラックされ、著名なサイトに多数影響 2009年04月23日