パスワードを忘れた? アカウント作成
11701059 story
インターネット

「ドメイン登録情報の不正書き換えによるドメイン名ハイジャック」が発生 32

ストーリー by hylom
問題はどこに 部門より

JPCERT/CCが、「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」を出している。レジストラ/レジストリに登録されているドメイン情報を書き換え、対応するIPアドレスを不正なものに書き換えることで、ユーザーに対し本来の接続先とは異なるサーバーへ接続させ、攻撃や情報の窃取などを行うという事例が複数報告されているという。

確認されたのは、国内組織が使用している.comドメイン名に関する不正書き換え。具体的なドメイン名については明らかにされていないが、日経新聞が「日本経済新聞 電子版」(nikkei.com)および「Nikkei Asian Review」(asia.nikkei.com)において影響があったことを記事にしている。また、.jpドメインについては今のところ問題は確認されていないようだ。

攻撃手法としては、以下の4点が考えられるという。

  1. ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換える
  2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
  3. レジストラになりすまし、レジストリの登録情報を書き換える
  4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える

注意喚起文書でも述べられているとおり、上記の2〜4についてはユーザー側での対策は不可能である。そのため、ドメイン名の管理に使っているIDやパスワードなどの適切な管理とともに、ネームサーバー情報などの定期的な確認などが推奨されている。

また、JPRSもこれに対する発表を行っている。これによると、誘導先の偽サイトでマルウェアが配布されている事例が確認されたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年11月06日 17時45分 (#2707223)

    はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して
    http://bookmark.hatenastaff.com/entry/2014/10/18/021046 [hatenastaff.com]

    はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します
    http://bookmark.hatenastaff.com/entry/2014/11/06/101514 [hatenastaff.com]

    ドメイン名ハイジャック被害を受けたのは、恐らく b.st-hatena.com と思われる。

  • by Anonymous Coward on 2014年11月06日 17時34分 (#2707217)

    どうなってんの

  • by Anonymous Coward on 2014年11月06日 17時40分 (#2707221)

    > 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
    > 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
    ソースからそうなってるけどこれらは一体何が違うんだ…

    • by Anonymous Coward on 2014年11月06日 20時16分 (#2707315)

      .comを例に出すと、レジストリはVeriSign、レジストラはお名前.comやNSI、Enomなどです。
      レジストリはVeriSign1社ですが、レジストラは世界中で1000社以上あります。

      .comの場合、顧客のデータは基本的にレジストラが持っていて、VeriSignが直接ユーザーからの各種申請を受け付けることはありません。
      登録や変更などはレジストラ経由で行われ、レジストラで書き換えたデータが自動的にVeriSignが持つデータベースに反映される仕組みになっています。

      ということで、

      2.の場合は、お名前.comなりNSIなりの持つデータが書き換えられて、その結果VeriSignのDBにそのまま反映された
      4.の場合は、VeriSignのデータベースが直接書き換えられた

      という違いがあります。

      2.の場合は、脆弱性を抱えたシステムを使っているレジストラのユーザーでなければ被害に遭うことはありませんが、
      4.の場合はどこのレジストラを使ってようと、.comのユーザーである限り、狙われれば自分が被害者になる可能性があります。

      親コメント
    • by Anonymous Coward

      > 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
      会社の仕組みに脆弱性がある

      > 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
      DNS登録システムに脆弱性がある

    • by Anonymous Coward

      2.レジストラ
      登録の仲介業者。脆弱性を突いた後にドメイン情報の変更作業が必要になる。

      4.レジストリ
      ドメインの管理側。脆弱性を突いて登録情報を書き換えた後は特に作業は必要ない。

    • by Anonymous Coward

      えいごの おべんきょ しましょっか。

      レジストラ → Regist + er → 登録+者 → ドメインの利用者 → なので2は「ドメイン登録者の脆弱性を利用して書き換える」
      レジストリ→ Regist + ry → 登録+地点 → ドメインのソース → なので4は「ドメイン登録元の脆弱性を利用して書き換える」

      #しかし4なんてけっこうヤバいインシデントなんじゃね?

  • by Anonymous Coward on 2014年11月06日 18時10分 (#2707237)

    ドメイン名の運営、国が規制・監督を検討中? [srad.jp]
    官僚の横暴だの、天下り先確保だの、色々と子供っぽい書き込みがあったが、
    結局はこういうリスクとのバランスが大事なのよね。

    • by live-gon (30327) on 2014年11月08日 14時08分 (#2708143) ホームページ 日記

      関連しているのがドメインってだけで、事象は全然違う。リスクとバランスが大事っていうのは一般論としてごもっともだが、今回のドメインハイジャックと、ドメイン管理を国が規制・監督って内容を、同じ天秤に乗せてリスクとバランスの話にもっていくのは詭弁が過ぎる。

      --
      LIVE-GON(リベゴン)
      親コメント
    • by Anonymous Coward

      そもそも、これ.comの話なので、日本だけで規制しても何の改善にもならんし、
      今回の注意喚起では言及されてないけど、DNS毒入れを使っても同じような
      攻撃はできて、こいつはDNSプロトコル自体の技術的欠陥なので、やっぱり
      日本政府ではどうにもならん。

      国に頼れば問題が解決するってのは安易な発想なような。

      どちらの問題についても、国が出ばるまでもなく、SSL使えば当面は問題を回避できるはず。
      (今回の場合、phishingではなく、正規のサイトにアクセスしようとしているので)

  • by Anonymous Coward on 2014年11月06日 18時37分 (#2707248)

    某ワトキンス氏のような悪意あるレジストラへの対策も必要じゃないかな

    • by Anonymous Coward

      あれは悪意のある管理人への対策がうまくいった例じゃないか。

  • by Anonymous Coward on 2014年11月06日 23時16分 (#2707418)

    comってもともとはアメリカの企業のためのドメインじゃなかったっけ?今はなしくずしに世界のための商業ドメインになってるようだが。
    日本企業むけにはco.jpがあるのに、どこもかしこも「comのほうがかっこいい」みたいな理由でcom取って運用するからこういうことになる…とか思ったりする。
    (とはいいつつ取らないと「まぎらわしいドメインを他社に取られる」ことになるから取って死蔵すればいい)

    • >日本企業むけにはco.jpがあるのに、どこもかしこも「comのほうがかっこいい」みたいな理由でcom取って運用するからこういうことになる…とか思ったりする。

      そんなこと言ったら、米国向けにも .us があります。
      .com とかは、そもそもインターネットが(ほとんど)米国にしかなかった時代のものなので、「アメリカの企業のため」とか考えてたわけじゃないかと。

      親コメント
    • by Anonymous Coward

      最初から世界向けとして始まってると思うけど?
      もちろん、インターネットが始まったのがアメリカからだし、アメリカの企業からどんどん取っていったってのはあるだろうけど、別にアメリカ専用ではないはず。.net や .org などと同様に一般向けな位置付け。
      日本に .jp があるように、アメリカ向けにも .us がちゃんとある。これは国別ドメインで、日本の場合日本に住所を持つ人しかとれないことになってる。
      けど、この国別ももう割とどの国のドメインでもとれるようになってる。国というより、名前・スペル目的に取ることが多い。最近は、 .io .in .fm なんかが

      • by Anonymous Coward

        > .comに限定される場合は攻撃手法4の時だけだ。

        とはいえ、.comと.netで1億件以上のドメインを管理し、さらにはルートのAサーバを運用する天下のVeriSignがやられるぐらいなら、
        もうどこのTLDがやられてもおかしくは無いような気がします。。

        # つまり、どんな攻撃手法だったとしても、それはどこでも誰にでも起こりえることかと。。

        • by Anonymous Coward

          なのに、役人の天下り先を増やすことのみを考えてるからゴミ政治家は税金泥棒で人間の屑であり日本は役人天国と言われるんですかね...
          増えたものは絶対減らないし....

          • by Anonymous Coward

            「それにつけても金の欲しさよ」みたいなコメントだなあ。

  • by Anonymous Coward on 2014年11月07日 18時47分 (#2707900)

    私、これ踏みました。どこのサイトだったかは忘れましたがメジャーなサイトで、Googleの検索結果をクリックしたら、原色の派手なバナーの並んだサイトに飛ばされました。

    どっかでマルウェアにやられていたのかと思って、派手なサイトを表示させてしまったこともあり、PCを全スキャンしたが何も脅威は検出されず。

    そのまま忘れていたが、まさかこんなことが理由だったとは。人は知ってる知識の範囲でしか、答えを導けないことを知りました。でもこれじゃ、そっくりなサイト作られたら、防ぎようが無いですね。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...