ニュース

ドメイン名ハイジャック発生、国内組織の「.com」登録情報が書き換えられる

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5日、国内組織が使用している「.com」ドメイン名の登録情報が不正に書き換えられるドメイン名ハイジャックの報告を複数受けているとして、ドメイン名の登録者や管理担当者に対して注意を喚起した。

 報告のあったドメイン名ハイジャックでは、ドメイン名の登録情報のうちネームサーバー情報が不正に追加され、ユーザーが当該組織のウェブサイトを閲覧しようとした際に、攻撃者が用意したサーバーに誘導される事例が確認されている。

 JPCERT/CCでは、ドメイン名ハイジャックの報告について、原因のすべてを確認できてはいないが、以下の4つのいずれかの攻撃手法が用いられたと考えられるとしている。

(1)ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの登録情報を書き換える
(2)レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
(3)レジストラになりすまし、レジストリの登録情報を書き換える
(4)レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える

 このうち、攻撃方法(1) への対策としては、ドメイン名登録者やドメイン名管理担当者が、登録情報を管理するためのIDやパスワードなどの認証情報を不正に使用されないよう、適切に管理することを挙げている。

 一方、攻撃手法(2)~(4)の場合には、レジストラやレジストリ側の問題となる。JPCERT/CCではこうした攻撃被害の軽減策として、ドメイン名ハイジャックを早期に検知・対応するため、whoisなどのコマンドを利用して、ネームサーバー情報などの登録情報が正しく設定されているかを定期的に確認することや、レジストラの連絡先や問い合わせ方法を事前に確認しておくことを挙げている。

(三柳 英樹)