「シリア電子軍」によるWebサイトダウン、発端はドメイン登録事業者への攻撃

[鈴木聖子，ITmedia]

　米紙New York TimesやTwitterなどのWebサイトがハッカー集団「Syrian Electronic Army」（SEA＝シリア電子軍）の攻撃を受けて相次いでダウンした問題は、ドメイン登録事業者（レジストラ）に対する攻撃が発端となっていたことが分かった。メディア各社が伝えた。

　この事件ではNew York TimesのWebサイトが米国時間の8月27日午後から夜にかけ、数時間にわたってダウンした。同紙は「外部からの悪質な攻撃」を受けたと発表し、同サイトが使っているオーストラリアのレジストラ、MelbourneITがSEAに攻撃されたとの見方を示した。

　さらにTwitterも同日一時的な障害に見舞われ、SEAがTwitterに犯行声明を掲載したほか、Huffington Postなどの大手サイトが相次いでダウンした。

　New York Timesの復旧に協力したというCloudFlareなどのセキュリティ専門家によれば、被害に遭ったWebサイトは、いずれもMelbourneITを通じてドメインを登録しているという共通点があった。SEAがTwitterに投稿したスクリーンショットから判断すると、攻撃者はMelbourneITの管理コンソールパネルにアクセスしたとみられるとCloudFlareは指摘する。

シリア電子軍が公開したとされる乗っ取り後の管理コンソールパネル画像（CloudFlareより）

　MelbourneITは米メディアの取材に対し、あるリセラーのログイン情報が盗まれてシステムに不正アクセスされ、複数のWebサイトの記録が書き換えられたと説明しているという。同社はその後問題を解決し、記録の改ざんを防ぐ措置を取ったとしている。

　CloudFlareはこれについて、リセラーのインタフェースの脆弱性が悪用されて権限が昇格され、MelbourneITの顧客のアカウント乗っ取りにつながったのではないかと推測している。

　今回のような攻撃を防ぐための対策として、自社のドメインに「レジストリロック」をかける方法があるとCloudFlareは解説する。この措置を講じれば、ドメイン登録事業者でさえも自動的にレジストリを変更することができなくなるという。