イベントレポート

Internet Week 2018

もし、ドメイン名が他人にハイジャックされたら? 平成の記憶から学ぶ、その手口と対策

株式会社日本レジストリサービス(JPRS)の森下泰宏氏と栫邦雄(かこい くにたか)氏

 ドメイン名は、インターネットの利用者・サービス提供者の双方にとってなくてはならない、重要なものである。特に、サービス提供者にとってドメイン名は自分のサイトの顔、つまりアイデンティティの1つであり、とても重要なものだ。そのドメイン名をもし他人にハイジャックされたら、どのようなことになってしまうのか? 考えたくもない話かもしれないが、起こりえないことではない。

 「Internet Week 2018」で11月29日に行われた「ランチのおともにDNS」では、「DNS Abuseと、DNS運用者がすべきこと~ドメイン名ハイジャックを知ることで、DNSをもっと安全に~」と題し、ドメイン名ハイジャックの概要と対策について、株式会社日本レジストリサービス(JPRS)の森下泰宏氏と栫邦雄氏による説明が行われた。

ドメイン名ハイジャックの3つの手口

「Abuse」は、不正行為全般のことである。そのため、DNS AbuseとDomain Abuseは、いずれも「ドメイン名の不正使用により実行される不正行為全般」を示すが、これら2つの言葉は明確に使い分けられているわけではない。

DNS Abuse/Domain Abuseとは
ドメイン名ハイジャックとは
DNS Abuseとドメイン名ハイジャックの関係

 一方、ドメイン名ハイジャックは、ドメイン名の管理権限を持たない第三者が、不正な手段で他者のドメイン名を自身の支配下に置く行為である。

 ドメイン名ハイジャックの背景には、そのドメイン名を悪用する意図がある。結果、ドメイン名ハイジャックはさまざまな不正行為=Abuseにつながる。具体的には、閲覧者の端末やPCにマルウェアが注入されたり、アカウント情報が抜き取られたり、仮想通貨を不正送金されたりしてしまう。状況によっては、サービス提供者の信用問題にまで発展し、致命的なダメージを受けるかもしれない。

 では、攻撃者はどのようにしてドメイン名をハイジャックするのだろうか。栫氏は代表的な手口として、「DNSの構成要素・データに対する攻撃」「登録情報の不正書き換え」「構成要素間の通信に対する攻撃」という3つの手法を説明した。

DNSの構成要素・データに対する攻撃
登録情報の不正書き換え
構成要素間の通信に対する攻撃

 DNSの構成要素やデータに対する攻撃は、ドメイン名の情報を持つ権威サーバーやDNSのキャッシュを持つフルリゾルバー(キャッシュDNSサーバー)、ホームルーターや利用者の端末(PCやスマートフォンなど)に対して攻撃を仕掛け、DNSデータを書き換えたり、DNS関連の設定を変更したりするものである。その結果、利用者は偽のDNS情報、つまり、偽の名前解決結果を受け取ってしまい、偽のサイトに誘導されてしまう。

 登録情報の不正書き換えは、ドメイン名の登録情報の流れのどこかで、情報を書き換えるための攻撃を仕掛けるものである。例えば、登録者になりすましてレジストラの情報を変更したり、レジストラのシステムの脆弱性を突いてデータベースを書き換えたりする攻撃がその例である。登録情報の不正書き換えは、登録者自身が登録状況をきちんと確認しなければならないという点で、より厄介かもしれない。

 構成要素間の通信に対する攻撃は、権威サーバーやフルリゾルバーそのものではなく、それらとの通信経路をハイジャックし、問い合わせのパケットを本来とは異なるネットワーク/サーバーに誘導するというものだ。例えば、192.0.2.12というIPアドレスを宛先に持つパケットはネットワークAのサーバーに届くはずなのに、経路ハイジャックによってネットワークZの別のサーバーに届いてしまうといったことを想像してもらうといいだろう。悪意のある経路ハイジャックにより、別のネットワークに接続された同じIPアドレスの権威サーバーやフルリゾルバーにパケットが誘導されると、結果として利用者は偽の応答を受け取ることになってしまい、偽のサイトに誘導されてしまうことになる。