イベントレポート

Internet Week 2018

もし、ドメイン名が他人にハイジャックされたら? 平成の記憶から学ぶ、その手口と対策

ドメイン名ハイジャックの事例と変化する目的

 では、ドメイン名ハイジャックの具体的な事例にはどのようなものがあるのか。栫氏は、その後の攻撃トレンドとなった事例や、実際に被害が発生した最近の事例の中から、いくつかの事例を紹介した。

その後の攻撃トレンドとなった事例および実際に被害が発生した最近の事例

 その中で、nikkei.comやst-hatena.comの事例は多くの方々の記憶に残っているのではないだろうか。2014年に行われたこの攻撃は、閲覧者の機器へのマルウェアの注入を目的に行われ、かつ、事実が露見しないように、攻撃の隠蔽を図ったことが注目された。攻撃の手法はレジストラ経由での登録情報の不正書き換えであったとされる[*1][*2]

日経新聞・はてなの事例(2014年)

[*1]……インターネットの根幹の仕組みに攻撃、本社も対象に(「日本経済新聞」2014年11月5日付記事)

[*2]……はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関する調査の経過を報告します(「はてなブックマーク開発ブログ」2014年11月6日付記事)

 次に注目したいのがオランダのセキュリティ企業、Fox-ITの事例である。2017年に行われたこの攻撃は、顧客のアカウント情報の不正入手を目的に行われたが、異変に気付いた同社が攻撃者の行動を調査して詳細なレポートを公開[*3]したため、攻撃の具体的なプロセスが明らかになった。その概要を次に示す。

  1. fox-it.comのレジストラのアカウントに不正アクセス(ドメイン名ハイジャックにより、DNS設定の書き換え権限を不正に入手)
  2. メール関連のDNS設定を書き換え、正規の手順で証明書を不正発行(認証局が提供するメール認証を利用)
  3. 不正発行された証明書を、攻撃者が立ち上げた偽サイトに設定
  4. 顧客向けポータルサイトのIPアドレスを書き換え、顧客のアクセスを偽サイトに誘導
Fox-ITの事例(2017年)
Fox-ITの攻撃で使われた手法

 この結果、偽サイトに対してログインを試みたFox-ITの顧客のアカウント情報が流出してしまった(現在は対策済み)。このケースでは、以下の2点が問題となった。

  • URLが「https」で始まっており、ドメイン名も正しいが、接続相手は偽サイトである
  • DNSとサーバー証明書の双方への攻撃が成功しているため、ウェブブラウザーが警告を表示しない

[*3]……Lessons learned from a Man-in-the-Middle attack(「Fox-IT International Blog」2017年12月14日付記事)

 今年起こった事例として紹介されたのが、仮想通貨のウォレットサービスを提供するMyEtherWalletの事例である。仮想通貨の不正送金を狙ったこの攻撃では、Amazon Route 53の偽の経路情報による経路ハイジャックが用いられた。この事例は、ドメイン名ハイジャックの目的が示威行為や主義・主張のアピールから、実利の獲得に向かっていることを象徴したものとなっている。

MyEtherWalletの事例