JPCERT/CCが国内でドメイン名ハイジャックを確認したとして情報発信しています。ドメイン名ハイジャックとはどのような攻撃なのでしょうか?
検索サイトの偽装広告をクリック
ドメイン名ハイジャックとは文字通りドメイン名が乗っ取られるサイバー攻撃のことです。ドメイン名ハイジャックの被害はシステムの脆弱性が悪用されて起きるケースがあるようですが、JPCERT/CCが確認した今年7月に国内で起きたケースではフィッシングサイトを使った手法がとられていたということです。
JPCER/CCの記事によると、事の発端はドメイン管理担当者がドメインの管理画面にアクセスしようとした際、正規のURLから認証せず、検索サイトに表示されていたドメイン登録業者を装った広告を偽装広告と気づかずにクリックしてフィッシングサイトにアクセスしたことから始まりました。その結果、偽の認証画面に誘導されましたが、ドメイン管理担当者は気づくことなくアカウントとパスワードを入力してしまったようです。攻撃者はフィッシングサイトから入力されたアカウントとパスワードを窃取して正規のサイトにアクセスし、登録されていたドメイン名を他のドメイン登録業者に移管してドメイン名をハイジャックしたということです。
このケースでは、フィッシングサイトにアクセスしてアカウントとパスワードを入力するとリダイレクトされ、正規サイトにログインしたと思わせる巧妙な仕掛けがされていたようです。そのためフィッシングサイトと気づくまでに時間がかかったようです。また、このドメイン管理担当者はドメイン名が移管されないようにロック機能を使っていたということですが、正規のアカウントとパスワードが使われてしまったことから、登録者になりすまして、攻撃者自身がロックを解除し、登録メールアドレスも変更されたことからロック解除の確認メールなどもドメイン管理担当者には届かなかったようです。
ネットに潜んでいる悪意
ドメイン名が乗っ取られてしまうと、攻撃者が乗っ取ったドメインを不正なサイトのドメインとして悪用して誘導し、マルウェアを仕掛けたりすることが可能になります。金融機関などを装ったフィッシングメールでは、誘導先サイトのURLが正規のサイトのURLとは異なっていることなどからフィッシングと見抜くことができるわけですが、正当なドメイン名が記載されたURLで、メールの文面も精巧であればフィッシングなのかどうか見わけかつかなくなってしまいます。
ドメイン名ハイジャック自体はかねてからあるサイバー攻撃の1つですが、今回、JPCERT/CCが発信したのは、フィッシングサイトによって認証情報を窃取してドメイン名を乗っ取るという手法にあると思われ、その背景として国内のサイバー環境においてフィッシングが増加している実態があると思われます。ただし、見逃してならないのは、ドメイン管理担当者がドメインの管理画面にアクセスするのに確実なURLでアクセスせずに検索サイトの広告からアクセスしようとした行為です。
以前、書いた記事「ウィキペディアの外部リンクに潜んでいたマイクロソフトサポート偽装詐欺」では、ウィキペディアの外部リンクからサポート詐欺ページに誘導されて遠隔操作により不正送金などが行われる実態について報告しました。今回のケースは検索サイトの偽装広告でフィッシングサイトに誘導されてドメイン名がハイジャックされたというケースです。つまりネットには悪意が潜んでいるということです。JPCER/CCは「検索サイトで表示されたリンクが正しいものと断定せず、確認済みの公式アプリや、WebブラウザーにブックマークしていたURLからアクセスする」ように求めています。
■出典