登録情報の不正書き換えによるドメイン名ハイジャックとその対策について

Size: px

Start display at page:

Download "登録情報の不正書き換えによるドメイン名ハイジャックとその対策について"

きのこだいほうじ
5 years ago
Views:

3 登録情報の流れ登録者リセラーレジストラレジストリ受け取ったネームサーバー情報からレジストリの権威 DNS サーバーに NS レコードを設定登録者リセラー example.tld ネームサーバー情報登録者情報 etc レジストラ ( 指定事業者 ) example.tld ネームサーバー情報登録者情報 etc レジストリ example.tld ネームサーバー情報登録者情報 etc TLD DNS サーバー example.tld ネームサーバー情報委任 (NS レコード ) example.tld 権威 DNS サーバー Copyright 2014 株式会社日本レジストリサービス 3

tld ネームサーバー情報登録者情報 etc 1 2 3 4 ここが狙われる事例が最近多発ネームサーバー情報登録者情報 etc 1 登録者になりすましてレジストラのデータベースを書き換え 2 レジストラのシステムの脆弱性を突き

4 ネームサーバー情報の不正書き換え流れのどこかで登録情報を不正に書き換え TLD の権威 DNS サーバーに設定される NS レコードを書き換え偽の権威 DNS サーバーを参照させる登録者リセラー example.tld ネームサーバー情報登録者情報 etc 例 : レジストラ ( 指定事業者 ) レジストリ example.tld example.tld ネームサーバー情報登録者情報 etc ここが狙われる事例が最近多発ネームサーバー情報登録者情報 etc 1 登録者になりすましてレジストラのデータベースを書き換え 2 レジストラのシステムの脆弱性を突きデータベースを書き換え 3 レジストラになりすましてレジストリのデータベースを書き換え 4 レジストリのシステムの脆弱性を突きデータベースを書き換え TLD DNS サーバー example.tld 偽ネームサーバー情報不正な NS レコード example.tld 偽権威 DNS サーバー Copyright 2014 株式会社日本レジストリサービス 4

5 攻撃の特徴 (1/4) いわゆるドメイン名ハイジャックが実行される不正な登録情報によりレジストリの権威 DNS サーバーの NS レコードを不正なものに書き換えそのドメイン名へのアクセスを偽サイトに誘導従来は攻撃者による示威行為が主流であった Hacked by といったページ政治的メッセージを表示するページへの転送などサイトの閲覧者などからのクレームにより状況が発覚登録情報の巻き戻しにより数時間 ~1 日程度で復旧 Copyright 2014 株式会社日本レジストリサービス 5

6 攻撃の特徴 (2/4) 攻撃者の目的が単なる示威行為ではない場合問題はより深刻なものとなりうるドメイン名の登録者に加えそのWebサイトの閲覧者も攻撃の対象となりうるフィッシングや情報漏えいマルウェアの配布など 2014 年 9~10 月にかけ国内の組織が運用する複数の.com サイトにおいて当該の事例が発生攻撃者が準備した偽サイトにアクセスを誘導特定の閲覧者に対しマルウェアの配布を図る Copyright 2014 株式会社日本レジストリサービス 6

8 攻撃の特徴 (4/4) 登録情報を扱うすべての関係者が標的となりうる登録者リセラーレジストラ ( 指定事業者 ) レジストリ運営基盤の弱い組織が狙われやすい一度やられた組織が再度やられるケースがある根本的な脆弱性対策を実施せずサービスを再開別の脆弱性を狙われる場合もあり DNSSEC では防げない DNSSEC 関連の設定も含め不正書き換え可能 Copyright 2014 株式会社日本レジストリサービス 8

12 最近の攻撃事例 (1/2) (2012 年 10 月 ~2013 年 12 月 ) 年月対象 TLD レジストリレジストラ 2012 年 10 月.ie( アイルランド ) 2012 年 11 月.pk( パキスタン ).ro( ルーマニア ) 2012 年 12 月.rs( セルビア ) 2013 年 1 月.tm( トルクメニスタン ).lk( スリランカ ) 2013 年 2 月.pk( パキスタン 2 回目 ).mw( マラウイ ).edu(gtld) 2013 年 3 月.bi( ブルンジ ).gd( グレナダ ).tc( 英領タークスカイコス諸島 ).vc( セントビンセントおよびグレナディーン諸島 ) 2013 年 4 月.kg( キルギスタン ).ke( ケニア ).ug( ウガンダ ).ba( ボスニア ).om( オマーン ).mr( モーリタニア ) 注 :JPRS において把握しているもののみ年月対象 TLD レジストリレジストラ 2013 年 5 月.mw( マラウイ 2 回目 ) 2013 年 7 月.my( マレーシア ).nl( オランダ ).be( ベルギー同一月内に 2 回登録情報には被害なし ) Network Solutions(gTLD レジストラ登録情報には被害なし ) 2013 年 8 月.nl( オランダ 2 回目 ).ps( パレスチナ ) Melbourne IT(gTLD レジストラ ) 2013 年 9 月.bi( ブルンジ 2 回目 ).ke( ケニア 2 回目 ) 2013 年 10 月 Network Solutions(gTLD レジストラ ) Register.com(gTLD レジストラ ).my( マレーシア 2 回目 ).cr( コスタリカ ).qa( カタール ).rw( ルワンダ ) Copyright 2014 株式会社日本レジストリサービス 12

13 最近の攻撃事例 (2/2) (2014 年 1 月 ~10 月 ) 年月対象 TLD レジストリレジストラ 2014 年 1 月.me( モンテネグロ ) 2014 年 2 月 MarkMonitor(gTLD レジストラ登録情報には被害なし ).uk( 英国 ) 2014 年 9 月 ~10 月.com(gTLD 注 2) 2014 年 10 月.id( インドネシア ).qa( カタール 2 回目 ) 注 1:JPRS において把握しているもののみ注 2: 国内の組織が運用する複数の.com ドメイン名において事例発生を確認した旨の情報あり状況調査中 Copyright 2014 株式会社日本レジストリサービス 13

14 主な事例の状況 (1/6).tm.lk(2013 年 1 月 ) 登録者の電子メールアドレスと平文パスワードが流出.tm: 約 5 万件うち.jp のメールアドレス約 1000 件.lk: 約 1 万件原因 : 登録画面の SQL インジェクション脆弱性.edu(2013 年 2 月 ).nl(2013 年 7 月 ) 全登録者レジストラのパスワードの強制リセットパスワードファイルの外部流出が疑われたため同年 1 月末の mit.edu のドメイン名ハイジャック事例との関連性同年 8 月の.nl の事例 ( 後述 ) との関連性 Copyright 2014 株式会社日本レジストリサービス 14

15 主な事例の状況 (2/6).nl(2013 年 8 月 ) あるレジストラのパスワードがクラックレジストラが管理するドメイン名数千件がハイジャックの被害にマルウェア配布サイトに誘導ドライブ = バイ = ダウンロードの手法を利用 ( 当該 Web ページを開いただけでマルウェアを強制ダウンロード ) 前回 (2013 年 7 月 ) の事件で流出した ID/ ハッシュパスワードがクラックに使われた可能性あり ( 未確認 ) 流出したパスワードは.nlレジストリ(SIDN) により強制変更済パスワードを元に戻したレジストラがあった可能性 Copyright 2014 株式会社日本レジストリサービス 15

16 主な事例の状況 (3/6) Melbourne IT(2013 年 8 月 ) シリア電子軍を名乗る者による犯行あるリセラーのアカウント情報を盗まれリセラーの登録システムに不正侵入リセラーの登録システムに存在した脆弱性を突き本来は書き換えることのできない別アカウントが管理するドメイン名登録情報を不正書き換え nytimes.com twimg.com などがドメイン名ハイジャックの被害に不正書き換えされた NS レコードの TTL が長かったため DNS キャッシュが長時間にわたって残存し影響が長時間に及んだ Copyright 2014 株式会社日本レジストリサービス 16

17 主な事例の状況 (4/6) Network Solutions Register.com(2013 年 10 月 ) パレスチナに関する政治的声明が書かれた Web ページにアクセスを誘導アンチウイルスベンダー著名な Web サービスセキュリティベンダーなどが被害に avira.com, avg.com alexa.com, leaseweb.com, redtube.com, whatsapp.com metasploit.com, rapid7.com レジストラへの FAX によりメールアドレス設定パスワードをリセットする手口が使われたレジストラのサービスを悪用 Copyright 2014 株式会社日本レジストリサービス 17

18 主な事例の状況 (5/6) MarkMonitor(2014 年 2 月 ) シリア電子軍を名乗る者による犯行レジストリロックが効果を発揮 facebook.com paypal.com ebay.com google.com などは被害を免れた当時レジストリロックを実装していなかった.uk (paypal.co.uk ebay.co.uk) は被害を受けた.uk は 2014 年 3 月にレジストリロックを実装 Copyright 2014 株式会社日本レジストリサービス 18

19 主な事例の状況 (6/6).com(2014 年 9~10 月 ) 国内の組織が運用する複数の.com サイトが標的に単なる示威行為ではなく Web サイトの閲覧者をも直接の攻撃対象としている特定の閲覧者に対しマルウェアの配布を図る不正書き換えの隠蔽を図っているネームサーバー情報の全部ではなく一部のみを書き換え 1~2 日程度で元の登録情報に巻き戻し具体的な攻撃手法原因などについては現在調査中 Copyright 2014 株式会社日本レジストリサービス 19

21 用語 : DNS ハイジャックについて DNS ハイジャックは登録情報の不正書き換え以外に下記の例なども含めた DNS 対応付けの書き換え行為全般を示す用語としても使われている利用者が使うキャッシュ DNS サーバーの不正変更 ISP のキャッシュ DNS サーバーにおけるフィルタリング参考 :Wikipedia 英語版 :DNS hijacking < そのため攻撃の内容やその対策を具体的に示したい場合適切な用語ではない JPRS では今回の事例について登録情報の不正書き換えによるドメイン名ハイジャックという用語を使用 Copyright 2014 株式会社日本レジストリサービス 21

DNS Abuseと、DNS運用者がすべきこと～ドメイン名ハイジャックを知ることで、DNSをもっと安全に～

DNS Abuseと、DNS運用者がすべきこと～ドメイン名ハイジャックを知ることで、DNSをもっと安全に～ DNS Abuse と DNS 運用者がすべきこと ~ ドメイン名ハイジャックを知ることで DNSをもっと安全に ~ ランチのおともにDNS 2018 年 11 月 29 日 Internet Week 2018 ランチセミナー株式会社日本レジストリサービス (JPRS) 森下泰宏栫邦雄 Copyright 2018 株式会社日本レジストリサービス 1 講師自己紹介森下泰宏 ( もりしたやすひろ