日本レジストリサービス(JPRS)や一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5日、ドメイン名ハイジャックにより、マルウェアに感染させる偽サイトに誘導させる被害が複数報告されているとして、ドメイン名登録者やドメイン名管理担当者に注意を喚起した。

今回報告されたドメイン名ハイジャックは、国内組織が使用している.comドメイン名の登録情報が不正に書き換えられ、攻撃者が用意したネームサーバ情報が追加されるもの。

ネームサーバ情報の登録には、まず登録者が、ドメイン登録業者であるレジストラに、登録者情報やネームサーバ情報を送信。その後レジストラから、ドメイン情報を持つデータベースの管理機関であるレジストリに情報が送られ、ドメイン名とIPアドレスを紐付けるDNSサーバに情報(NSレコード)が設定される。

ドメイン名ハイジャックでは、上記の流れの中で登録情報が不正に書き換えられる。具体的には、下記の事例が多発しているという。これにより最終的にDNSサーバに設定される情報が書き換えられ、不正なサイトに誘導させられてしまう。

  • 登録者になりすまして、レジストラのデータベースを書き換える
  • レジストラのシステムの脆弱性を突き、データベースを書き換える
  • レジストラになりすまして、レジストリのデータベースを書き換える
  • レジストリのシステムの脆弱性を突き、データベースを書き換える

ネームサーバー情報の不正書き換えの例(画像:JPRS)

ドメイン名ハイジャックは従来より存在していたが、従来は政治的なメッセージの表示など、示威行為が主流となっていた。今回報告された事例では、特定の閲覧者に対しマルウェアの配布を図るなど、被害が深刻化する恐れがある。

JPRSによると、攻撃はとくに著名なドメイン名が狙われやすく、既知の脆弱性の悪用やアカウントの盗難など幅広い手口が特徴という。JPCERT/CCでは、対応策として、ドメイン名登録者やドメイン名管理担当者のID・パスワードといった認証情報を適切に管理することを推奨している。また、JPRSではチェック機構の活用や既知の脆弱性への対策、レジストリロックの活用などを推奨している。