ドメイン名ハイジャックが現実的に。

ドメイン名ハイジャックなんて、数年先と思っていた。。。
日本経済新聞社サイトなどで被害を確認。正規のサイトにアクセスしたつもりが、偽サイトに誘導されるといった、ドメイン名ハイジャックだ。こればっかりは、利用者側はアクセス先は信じるしかない。

http://www.nikkei.com/topic/20141105.html

http://www.nikkei.com/topic/20141105.html

これを受けて、JPCERTは「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」をリリースしている。

簡単にどういうことか?例えば、Yahoo! Japanは、http://www.yahoo.co.jp/だと覚えやすいけど、http://183.79.135.206/だと覚えられない。実際のところ、http://183.79.135.206/にアクセスすれば、Yahoo! Japanに接続される。これが、http://183.79.135.206/にアクセスすると、偽Yahoo! Japanに誘導されてしまうという事件が発生した。これを「ドメイン名ハイジャック」と呼ばれるようになった。過去に当ブログでは、DNSキャッシュポイズニング問題について取り上げたが、そこまでの脅威ではなく、ドメイン登録者(ドメインレジストラー)側の設定権威によるものとされている。
この分かりやすいドメイン、今回の例では、www.yahoo.co.jp。これが、183.79.135.206だよと相互変換してくれて管理しているシステムがDNS。Windowsコマンドでは、「nslookup」を利用すれば、IPへの変換が簡単だ。

nslookup

Yahoo!を管理しているサーバーが多数あるので、今回は、124.83.171.240と返してきた。でも、http://124.83.171.240/は、Yahooにつながるはずだ。

まだ攻撃方法が公開されていないが、このドメインレジストラーを詐称して、ドメイン情報を書き換えた(改ざんした)とされている。最近では、この書き込み方法もシステム化されており、指定フォームに記入すれば、すぐに反映されているなど、便利になった反面、システムに脆弱性が見つかれば、そこが悪用されてしまう、という大変な時代になった。

ウェブサイトに見に行くユーザー側は対策は無いのだが、公開する側、ドメインレジストラー側に対しての対策方法についてぐぐったらHitしてきたので、参考までリンクを紹介したい。

(参考)(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策 について(2014年11月5日公開)(JPRS)

まとめのサイトが出来上がっていたので、参考まで。
(参考)複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた(piyolog)

この記事に関する参考サイト
ドメイン名ハイジャック発生、国内組織の「.com」登録情報が書き換えられる(impress)
ドメイン名ハイジャックがマルウェア感染サイトへの誘導に悪用、国内組織の「.com」で被害発生(@IT)
国内「.com」サイトでドメイン乗っ取り、不正サイトへの誘導被害も(ITmedia)
正規サイトから他サイトに誘導「ドメイン名ハイジャック」 日経電子版など被害(ITmedia)
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 (2014.11.05)(セキュリティホールmemo)

<まとめ>

今回のドメイン名ハイジャックに関しては、利用者側は対策ができない。見ているサイトが偽物であっても、本物としかとらえられない。
ウェブサイトを提供している側が、不正に改ざんされていないか、ドメイン情報を定期的に確認しておく必要がある。頑張ってください、としか言いようがないな。