2014年11月05日

日経新聞などが被害、正しいサイトを開いたはずが偽物にすり替わる「ドメイン名ハイジャック」

日経新聞などが被害、正しいサイトを開いたはずが偽物にすり替わる「ドメイン名ハイジャック」
http://internetcom.jp/busnews/20141105/domain-name-hijack.html
2014年11月5日 / 17:40

一部の日本企業が運営している「.com」ドメイン名の Web サイトを開こうとすると、別のサイトにすり替わり、マルウェア(悪意あるソフトウェア)をダウンロードしてしまう。9月から10月にかけ何者かがこんな罠を動かしていた。日本経済新聞社が被害に遭ったと発表している。またセキュリティ組織の JPCERT/CC などが注意喚起を出している。

サイバー犯罪者は、各社の Web サイトに不正侵入したのではなく、各サイトのインターネット上の住所表示にあたるドメイン名を維持管理している機関(レジストリ)を狙い、登録情報を書き換えた。「ドメイン名ハイジャック」と呼ぶ手法だ。書き換えた情報は1、2日程度で元通りにし、見つかりにくくしている。また特定のユーザーを狙ってマルウェアに感染させようとした形跡もあるという。

今回の標的となったドメイン名の情報は、おおまかに言って、Web サイトを運営する企業などが、「レジストラ」という指定事業者を通じてレジストリに登録を依頼している。

書き換えの詳しい手口はまだ分かっていないが、JPCERT/CC が想定しているのは(1)ドメイン名の登録者や管理担当者に成りすましてレジストラの登録情報を書き換えた、(2)レジストラのシステムの脆弱(ぜいじゃく)性を突いた、(3)レジストラそのものに成りすましてレジストリの登録情報を書き換えた、(4)レジストリのシステムの脆弱性を突いたか、いずれかだと、JPCERT/CC は分析している。

(1)の場合は、サイトを運営する企業などが登録情報を管理するための ID やパスワードなどを、サイバー犯罪者が不正利用した恐れがある。しかし(2)、(3)、(4)となると、レジストラ、レジストリといったドメイン名管理の根幹を担う組織の体制に弱点があったことになる。

JPCERT/CC は、ドメイン名ハイジャックの被害軽減策として、ドメイン名の登録情報を確認する「whois」などの機能を使って定期的に書き換えなどが起きていないかを確認すること、それにレジストラの連絡先や問い合わせ方法を事前に把握しておくことを薦めている。


ドメイン名ハイジャックの流れ.PNG
ドメイン名ハイジャックの流れ



一部の日本企業が運営している「.com」ドメイン名の Web サイトを開こうとすると、別のサイトにすり替わり、マルウェア(悪意あるソフトウェア)をダウンロードしてしまう。
9月から10月にかけ何者かがこんな罠を動かしていた。
日本経済新聞が被害に遭ったと発表している。
セキュリティ組織のJPCERT/CC などが注意喚起を出している。
サイバー犯罪者は、各社の Web サイトに不正侵入したのではなく、各サイトのインターネット上の住所表示にあたるドメイン名を維持管理している機関(レジストリ)を狙い、登録情報を書き換えた。
「ドメイン名ハイジャック」と呼ぶ手法。
書き換えた情報は1、2日程度で元通りにし、見付かりにくくしている。
また特定のユーザーを狙ってマルウェアに感染させようとした形跡もあるという。
IT関連のニュースを扱っているサイトが主に報道していますが、読売新聞でも報道されました。
9〜10月は日経新聞を閲覧していました。
嫌なニュースです。



日経ニュースサイト閲覧、別サイトに誘導の恐れ
http://www.yomiuri.co.jp/it/20141105-OYT1T50184.html?from=ytop_ylist
2014年11月05日 20時41分

日本経済新聞社は5日、同社のニュースサイトを閲覧すると、閲覧者が別のサイトに誘導される恐れがあると発表した。

 「ドメイン名ハイジャック」と呼ばれる攻撃を受けたもので、ネット関連団体は他に被害に遭っているサイトがあるとみて調べている。

 日経によると、被害を受けたサイトは、「日本経済新聞電子版」と「Nikkei Asian Review」。10月上旬に外部からの指摘で発覚、後に改善された。同社のシステムへの侵入や、情報の流出は確認されていないという。

 セキュリティーに関する情報提供を行っている一般社団法人JPCERT(ジェイピーサート)によると、8月以降、「.com」のドメイン(ネット上の住所)を使う国内サイト数件で同様の被害が確認されている。ニュースサイトのように、閲覧者が多いサイトが狙われた可能性がある。
【関連する記事】
posted by hazuki at 22:16| Comment(0) | TrackBack(0) | インターネット全般 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック