国内「.com」サイトでドメイン乗っ取り、不正サイトへの誘導被害も

ドメインの登録情報が何らかの手口で改ざんされ、正規サイトを閲覧しようとしたユーザーが不正サイトに誘導されてしまう被害が起きているという。

[ITmedia]

　国内組織が運用している複数の「.com」サイトでドメイン名の登録情報が改ざんされ、正規サイトを閲覧しようとしたユーザーを不正サイトに誘導する「ドメインハイジャック」（ドメインの乗っ取り）が複数発生しているという。JPCERT コーディネーションセンター（JPCERT/CC）や日本レジストリサービスが11月5日、注意を呼び掛けた。

　日本レジストリサービスによると、9月から10月にかけて発生したドメインハイジャックではユーザーが政治的なスローガンなどを表示する不正サイトに誘導された。今回のケースでは不正サイトからユーザーのコンピュータへマルウェアが送り込まれる被害が起きているという。

　ドメインハイジャックでは、正規サイトへ接続するために必要なドメインに関する情報が何らかの方法で書き換えられたり、別の情報を追加されたりすることで、ドメイン名（例えば、http://www.example.com）自体は正規サイトのものであるにも関わらず、実際には閲覧者が別のWebサイトなどに誘導されてしまう。

ドメイン名から正規サイトへ接続する際のDNSの仕組み。ドメインハイジャックでは図の仕組みを含めたドメインに関する情報が改ざんされて本来とは異なるサイトに接続されてしまう状態となる

　JPCERT/CCによれば、攻撃者がドメイン名の登録者やドメイン名の管理担当者になりすましてレジストラ（ドメイン名の登録申請を受け付ける組織）の登録情報を改ざんした可能性や、レジストラもしくはレジストリ（ドメインに関する登録情報のデータベースを管理している組織）のシステムの脆弱性を悪用して情報を書き換えた可能性があるという。

　各機関は、ドメイン名の業務に関わる担当者のアカウントが不正に使用されないよう管理を厳重に行い、2段階認証などの仕組みを利用するといった対策を推奨している。レジストラやレジストリには、システムの不正使用につながる脆弱性の解決や運用体制の確認、不正な情報の改ざんを検知する仕組みの活用などが求められるとしている。

　また軽減策として、（1）whoisなどのコマンドを利用してネームサーバ情報などの登録情報が正しく設定されているかを定期的に確認する、（2）登録情報が不正に書き換えられる事態に備えてレジストラの連絡先や問い合わせ方法を事前に確認しておく――などの対応も重要になる。ただし（1）については、不正に書き換えられた登録情報が1、2日ほどで元の登録情報に戻されるケースがあったという。