図1●登録情報書き換えによるドメイン名乗っ取りの仕組み。JPRSの資料から引用
[画像のクリックで拡大表示]
図2●登録情報のうち、ネームサーバー情報(NSレコード)が狙われる。JPRSの資料から引用
[画像のクリックで拡大表示]

 日本レジストリサービス(JPRS)は2014年11月5日、登録情報を不正に書き換える手口による「ドメイン名乗っ取り(ドメインハイジャック)」に関して、ドメイン名の登録や販売業務を行っている国内事業者やドメイン名を取得して利用している国内ユーザーに対して緊急対策を呼びかけるアナウンスを行った。

 「2014年9月から10月にかけて、国内組織が運用する複数の.comドメイン名Webサイトが同手口による被害を受け、マルウエアの配布に利用されたという情報を入手した」(JPRS)ことが今回緊急アナウンスを行うことを決めたきっかけだという。JPRSは組織名やサイト数などは明らかにしていないが、既に日経新聞社が運営する二つのWebサイトが被害を受けたことが判明している(同社の発表記事)。

 スクワッティング(占拠)という行為を含むいわゆるドメイン名乗っ取りには、「企業名や商標などを含む文字列を先回りして取得する」「ドメイン名を取得した企業が契約を更新し忘れた際に横取りする」といった手口が古くからあるが、今回使われたのは「ドメイン名の管理事業者(レジストリ)や登録事業者(レジストラ)のデータベースに登録された情報を不正に書き換える」という手口だ(図1)。JPRSによれば、この手口を使った攻撃がここ数年、世界的に発生しているという。

「ネームサーバー情報」が狙われる

 ドメイン名登録情報のうち、不正書き換えで特に狙われるのは「ネームサーバー情報(NSレコード)」である(図2)。NSレコードは、そのドメイン名を持つWebサイトやサービスにアクセスする際に、どのDNSサーバー(権威サーバー)に問い合わせを行うべきかが書かれている。この情報が書き換えられてそれに対応する偽の権威サーバーが設置されると、攻撃者は正規のWebサイトを改ざんするなどの手間をかけることなく、用意した偽Webサイトにアクセスを直接誘導できるようになる。

 JPRSによると、これまでに発生したこうした手口によるドメイン名乗っ取り事例では、誘導先の偽Webサイトで攻撃者が準備した特定のメッセージや政治的スローガンなどを表示する、いわゆる“示威行為”に留まっていたという。しかし今回、.comドメイン名が狙われた事例では、「誘導先の偽サイトから特定の利用者に対しマルウエアの注入を試みる行為が実行されており、閲覧者を攻撃対象としていた」(JPRS)という。

 JPRS自身が管理するJPドメイン名については、「今のところ、攻撃対象となったという情報は入手していない」としている。しかし、「この攻撃手法はレジストリ・レジストラモデルを採用するすべてのトップレベルドメイン名(TLD)に適用可能であり、JPドメイン名を含む全てのTLDにおいて適切な対策を考慮・実施する必要がある」(JPRS)と注意を呼びかけている。

 具体的な対策方法としてJPRSでは、(1)登録情報を取り扱うドメイン名販売事業者、レジストラ、レジストリの各システムにおいて、不正アクセス防止などの適切な脆弱性対策および情報漏えい対策を実施すること、(2)安易なパスワードの利用禁止や二段階認証導入など、システムを利用する際のアカウント管理の適正化による「なりすまし防止対策」の強化、(3)電話でのパスフレーズ確認を求めるなど、オンラインで登録情報を書き換えられないようにする「レジストリロック」の設定や導入の検討---などを挙げている。