「ドメイン登録情報の不正書き換えによるドメイン名ハイジャック」が発生 32
ストーリー by hylom
問題はどこに 部門より
問題はどこに 部門より
JPCERT/CCが、「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」を出している。レジストラ/レジストリに登録されているドメイン情報を書き換え、対応するIPアドレスを不正なものに書き換えることで、ユーザーに対し本来の接続先とは異なるサーバーへ接続させ、攻撃や情報の窃取などを行うという事例が複数報告されているという。
確認されたのは、国内組織が使用している.comドメイン名に関する不正書き換え。具体的なドメイン名については明らかにされていないが、日経新聞が「日本経済新聞 電子版」(nikkei.com)および「Nikkei Asian Review」(asia.nikkei.com)において影響があったことを記事にしている。また、.jpドメインについては今のところ問題は確認されていないようだ。
攻撃手法としては、以下の4点が考えられるという。
- ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換える
- レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
- レジストラになりすまし、レジストリの登録情報を書き換える
- レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
注意喚起文書でも述べられているとおり、上記の2〜4についてはユーザー側での対策は不可能である。そのため、ドメイン名の管理に使っているIDやパスワードなどの適切な管理とともに、ネームサーバー情報などの定期的な確認などが推奨されている。
また、JPRSもこれに対する発表を行っている。これによると、誘導先の偽サイトでマルウェアが配布されている事例が確認されたという。
はてなブックマークでも発生 (スコア:1)
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して
http://bookmark.hatenastaff.com/entry/2014/10/18/021046 [hatenastaff.com]
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します
http://bookmark.hatenastaff.com/entry/2014/11/06/101514 [hatenastaff.com]
ドメイン名ハイジャック被害を受けたのは、恐らく b.st-hatena.com と思われる。
ハイじゃないが (スコア:0)
どうなってんの
Re:ハイじゃないが (スコア:1)
そのハイは空の上って意味じゃないぞ。
#空(ソラ)の上は宇宙(ソラ)なのかなー
Re:ハイじゃないが (スコア:1)
ソラの上にはシドがあると、ムーミンパパが言っていました。
Re:ハイじゃないが (スコア:1)
ムーミン放映開始に先行する時期にNHK教育テレビの子供向けプログラムで
♪そらーのうえにはなーにがあるー
♪くもーじゃないよー シドーだよー
云々
という歌をマペット使ってやっていた記憶があるのです。
Re:ハイじゃないが (スコア:1)
hyjackをお望みで?
Re: (スコア:0)
なに言ってんの。
Hijackは1つの語だよ。
ハイじゃないジャックなんて無いよ。
Re:ハイじゃないが (スコア:2, 興味深い)
バスジャックとかあるから、ジャックがあると勘違いしたんだと思うよ。
バスジャックだってバスハイジャックなんだけどな。
Re: (スコア:0)
どこまでテンプレ?
Re: (スコア:0)
ジャックさんならいろんなところに居ると思われ。
Re: (スコア:0)
あるよ。skyjackってのが昔は使われてた。
語源は highway + jack(er) からと言われていて、最初は車上での追いはぎだった。
その後航空機でも起きるようになって、それはskyjackと呼ばれた。
そのうち交通機関全般でhijackが使われるようになって今に至る。
4点の攻撃手法? (スコア:0)
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
ソースからそうなってるけどこれらは一体何が違うんだ…
Re:4点の攻撃手法? (スコア:4, 参考になる)
.comを例に出すと、レジストリはVeriSign、レジストラはお名前.comやNSI、Enomなどです。
レジストリはVeriSign1社ですが、レジストラは世界中で1000社以上あります。
.comの場合、顧客のデータは基本的にレジストラが持っていて、VeriSignが直接ユーザーからの各種申請を受け付けることはありません。
登録や変更などはレジストラ経由で行われ、レジストラで書き換えたデータが自動的にVeriSignが持つデータベースに反映される仕組みになっています。
ということで、
2.の場合は、お名前.comなりNSIなりの持つデータが書き換えられて、その結果VeriSignのDBにそのまま反映された
4.の場合は、VeriSignのデータベースが直接書き換えられた
という違いがあります。
2.の場合は、脆弱性を抱えたシステムを使っているレジストラのユーザーでなければ被害に遭うことはありませんが、
4.の場合はどこのレジストラを使ってようと、.comのユーザーである限り、狙われれば自分が被害者になる可能性があります。
Re: (スコア:0)
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
会社の仕組みに脆弱性がある
> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
DNS登録システムに脆弱性がある
Re: (スコア:0)
2.レジストラ
登録の仲介業者。脆弱性を突いた後にドメイン情報の変更作業が必要になる。
4.レジストリ
ドメインの管理側。脆弱性を突いて登録情報を書き換えた後は特に作業は必要ない。
Re: (スコア:0)
えいごの おべんきょ しましょっか。
レジストラ → Regist + er → 登録+者 → ドメインの利用者 → なので2は「ドメイン登録者の脆弱性を利用して書き換える」
レジストリ→ Regist + ry → 登録+地点 → ドメインのソース → なので4は「ドメイン登録元の脆弱性を利用して書き換える」
#しかし4なんてけっこうヤバいインシデントなんじゃね?
Re:4点の攻撃手法? (スコア:1)
オフトピですが…Oxfordのオンライン辞書で確認した範囲では、その説明はヘンです。ありていに言えば間違いです。
// レジスト(regist)が和製英語っぽいものだと思っていない人が多いようだ。
Re:4点の攻撃手法? (スコア:1)
そいやレジスタ(登録)とレジスト(抵抗)って関連ありそうで意味
全然関係ないよなあ、と辞書引いたら、違う単語なのですね。
registerの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp]
resisterの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp]
片仮名表記でレジストと書くとresistでもregistでもそれっぽくなるから、
違和感が働いてくれませんよね。 registなんて単語はなかったんや・・・。
Re:4点の攻撃手法? (スコア:1)
そこにないけど戸籍謄本の英訳もファミリーレジスターっていうよね
Re: (スコア:0)
残念ながらドメインの世界ではその説明は少し違います
レジストリ(TLD管理組織)…そのTLDを一元的に管理する組織
レジストラ(登録業者)…ユーザからの登録を受け付け、その内容をレジストリDBに登録する業者
です。一般ユーザ(=ドメインの利用者)は「Registrant」と呼びます。
レジストリとレジストラ
http://www.onamae.com/clever/about/regist.html [onamae.com]
関連 (スコア:0)
ドメイン名の運営、国が規制・監督を検討中? [srad.jp]
官僚の横暴だの、天下り先確保だの、色々と子供っぽい書き込みがあったが、
結局はこういうリスクとのバランスが大事なのよね。
Re:関連 (スコア:1)
関連しているのがドメインってだけで、事象は全然違う。リスクとバランスが大事っていうのは一般論としてごもっともだが、今回のドメインハイジャックと、ドメイン管理を国が規制・監督って内容を、同じ天秤に乗せてリスクとバランスの話にもっていくのは詭弁が過ぎる。
LIVE-GON(リベゴン)
Re: (スコア:0)
そもそも、これ.comの話なので、日本だけで規制しても何の改善にもならんし、
今回の注意喚起では言及されてないけど、DNS毒入れを使っても同じような
攻撃はできて、こいつはDNSプロトコル自体の技術的欠陥なので、やっぱり
日本政府ではどうにもならん。
国に頼れば問題が解決するってのは安易な発想なような。
どちらの問題についても、国が出ばるまでもなく、SSL使えば当面は問題を回避できるはず。
(今回の場合、phishingではなく、正規のサイトにアクセスしようとしているので)
某巨大匿名掲示板の例から見るに (スコア:0)
某ワトキンス氏のような悪意あるレジストラへの対策も必要じゃないかな
Re: (スコア:0)
あれは悪意のある管理人への対策がうまくいった例じゃないか。
日本企業がcomなんか取って運用するから (スコア:0)
comってもともとはアメリカの企業のためのドメインじゃなかったっけ?今はなしくずしに世界のための商業ドメインになってるようだが。
日本企業むけにはco.jpがあるのに、どこもかしこも「comのほうがかっこいい」みたいな理由でcom取って運用するからこういうことになる…とか思ったりする。
(とはいいつつ取らないと「まぎらわしいドメインを他社に取られる」ことになるから取って死蔵すればいい)
Re:日本企業がcomなんか取って運用するから (スコア:1)
>日本企業むけにはco.jpがあるのに、どこもかしこも「comのほうがかっこいい」みたいな理由でcom取って運用するからこういうことになる…とか思ったりする。
そんなこと言ったら、米国向けにも .us があります。
.com とかは、そもそもインターネットが(ほとんど)米国にしかなかった時代のものなので、「アメリカの企業のため」とか考えてたわけじゃないかと。
Re: (スコア:0)
最初から世界向けとして始まってると思うけど?
もちろん、インターネットが始まったのがアメリカからだし、アメリカの企業からどんどん取っていったってのはあるだろうけど、別にアメリカ専用ではないはず。.net や .org などと同様に一般向けな位置付け。
日本に .jp があるように、アメリカ向けにも .us がちゃんとある。これは国別ドメインで、日本の場合日本に住所を持つ人しかとれないことになってる。
けど、この国別ももう割とどの国のドメインでもとれるようになってる。国というより、名前・スペル目的に取ることが多い。最近は、 .io .in .fm なんかが
Re: (スコア:0)
> .comに限定される場合は攻撃手法4の時だけだ。
とはいえ、.comと.netで1億件以上のドメインを管理し、さらにはルートのAサーバを運用する天下のVeriSignがやられるぐらいなら、
もうどこのTLDがやられてもおかしくは無いような気がします。。
# つまり、どんな攻撃手法だったとしても、それはどこでも誰にでも起こりえることかと。。
Re: (スコア:0)
なのに、役人の天下り先を増やすことのみを考えてるからゴミ政治家は税金泥棒で人間の屑であり日本は役人天国と言われるんですかね...
増えたものは絶対減らないし....
Re: (スコア:0)
「それにつけても金の欲しさよ」みたいなコメントだなあ。
理解出来る範囲でしか理解出来ないんだな (スコア:0)
私、これ踏みました。どこのサイトだったかは忘れましたがメジャーなサイトで、Googleの検索結果をクリックしたら、原色の派手なバナーの並んだサイトに飛ばされました。
どっかでマルウェアにやられていたのかと思って、派手なサイトを表示させてしまったこともあり、PCを全スキャンしたが何も脅威は検出されず。
そのまま忘れていたが、まさかこんなことが理由だったとは。人は知ってる知識の範囲でしか、答えを導けないことを知りました。でもこれじゃ、そっくりなサイト作られたら、防ぎようが無いですね。