---------------------------------------------------------------------
■(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策
について(2015年5月26日更新)
株式会社日本レジストリサービス(JPRS)
初版作成 2014/11/05(Wed)
最終更新 2015/05/26(Tue)
(JPドメイン名におけるレジストリロックサービスの提供を反映)
---------------------------------------------------------------------
▼概要
JPRSでは2014年9月から10月にかけ、国内の組織が運用する複数の.comサイ
トが、ドメイン名の登録情報の不正書き換えによるドメイン名ハイジャック
の被害を受けたという情報を入手しました。この攻撃手法ではレジストリに
登録されたネームサーバー情報を書き換えることで正規のサイトを直接攻撃
することなく、攻撃者が準備した偽サイトに利用者のアクセスを誘導します。
これまでに発生した同様の事例では、誘導先の偽サイトにおいて攻撃者が準
備した特定のメッセージや政治的スローガンなどを表示する、いわゆる示威
行為に留まっていました。しかし、今回の事例では誘導先の偽サイトから特
定の利用者に対しマルウェアの注入を図る行為が実行されており、Webサイ
トのみにとどまらず、その閲覧者も直接の攻撃対象となっています。
JPRSでは現時点において、JPドメイン名がこうした攻撃の対象となったとい
う情報は入手していません。しかし、この攻撃手法はレジストリ・レジスト
ラモデルを採用するすべてのTLDに適用可能であり、JPドメイン名を含む各
TLDにおいて、適切な対策を考慮・実施する必要があります。そのため、本
文書では対象をJPドメイン名のみに限定せず、それ以外のTLDにおいて取り
うる対策にも言及しています。
なお、登録情報の不正書き換えによる攻撃の概要と最近の主な事例について
は以下の補足資料「登録情報の不正書き換えによるドメイン名ハイジャック
とその対策について」を、併せてご参照ください。
補足資料:登録情報の不正書き換えによるドメイン名ハイジャックと
その対策について
<http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf>
▼影響範囲
攻撃者が準備した偽サイトにアクセスが誘導されることにより、フィッシン
グ、Webサイト閲覧者に対するマルウェアの注入、クッキーの改変、電子メー
ルの盗難、SPFレコードの偽装による成りすましメールの発信など、さまざ
まな行為に悪用される可能性があります。
▼攻撃手法
登録情報の不正書き換えは、下記に示す情報の流れのどの場所においても起
こり得ます(図1)。
+------+ +--------------+ +----------+ +--------+
| | | | | | |権威DNS |
| |=============>| | | |→|サーバー|
|登録者| | レジストラ |=>|レジストリ| +--------+
| | +--------+ |(指定事業者)| | | +--------+
| |=>|リセラー|=>| | | |→|WHOIS |
+------+ +--------+ +--------------+ +----------+ +--------+
図1:ドメイン名登録情報の流れ
また、登録情報に対する攻撃手法は、大きく以下の二つに分類されます。
1)上記の各システムの脆弱性を突き、登録情報を書き換える
2)上記の登録者、リセラー、レジストラ(指定事業者)になりすまし、
登録情報を書き換える
本件の対策は、これらを踏まえた上で考慮・実施する必要があります。
▼対策
▽各システムにおける脆弱性対策・情報漏えい対策
登録情報を取り扱うリセラー・レジストラ・レジストリの各システムにおい
て、不正アクセスの防止・不正なコード実行の防止などの適切な脆弱性対策
や情報漏えい対策を実施する必要があります。
▽アカウント管理の適正化によるなりすましの防止
登録者、リセラー、レジストラがシステムを利用する際のなりすまし防止の
手段として、安易なパスワードを利用しないことやパスワードの使いまわし
をしないことはもちろんですが、二段階認証やクライアント証明書などの高
度な認証手段が提供されている場合、それらを適切に利用することにより、
危険性を低減させることができます。
▽レジストリロックの設定
一部のTLDレジストリでは、レジストラに対するオプションサービスとして、
レジストリロックを提供している場合があります(*1)(*2)。
(*1)オプションサービスであり、有償であることがあります。また、サー
ビスを提供しているTLDのすべてのリセラー・レジストラが対応して
いるわけではありません。
(2015年5月26日更新)
(*2)JPドメイン名では2015年1月19日より、レジストリロックサービスの
提供を開始しました。本サービスの提供方法及び提供範囲は、指定事
業者によって異なります。詳細はドメイン名の管理指定事業者にお問
い合わせください。
レジストリロックサービス
<http://jprs.jp/about/dom-rule/registry-lock/>
レジストリロックでは、登録者・リセラーまたはレジストラがロックの設定
をレジストリに依頼することにより、情報の書き換えの際に電話でのパスフ
レーズの確認など、ロックの解除のための特別な手続きが必要になります。
これにより、登録情報の意図しない書き換えを防止できます。
なお、レジストリロックを設定することにより、通常の場合に比べ登録情報
の更新に時間を要するようになること、パスフレーズの管理など、利用者側
においても追加のコストが必要になることなどに注意が必要です。
▼登録者における情報の不正書き換えの検知と対応
登録者がドメイン名の登録情報を定期的にチェックすることで、その内容が
不正に書き換えられたことを検知できます。これにより、情報の不正書き換
えが発生した際のリセラー・レジストラ・レジストリへの問い合わせや登録
情報のロールバック(巻き戻し)の依頼など、迅速な対策や被害拡大の防止
につなげることができます。
定期的にチェックする項目として、レジストリやレジストラのWhois情報、
レジストリの権威DNSサーバーに設定される委任情報(NS/A/AAAAレコード)
が挙げられます。しかし、チェックのためにはネットワークやDNSに関する
ある程度の知識が必要になり、すべての登録者において対応可能なものでは
ありません。
また、レジストリやレジストラによっては登録情報が変更された場合、その
旨を電子メールで登録者に通知する仕組みを提供している場合があります。
これを確認することにより登録者が登録情報を定期的にチェックしなくても、
登録情報の書き換えを検知することができます。
この場合、こうした通知を確実に受け取れるようにするため、
・ドメイン名の登録者情報として設定する連絡先(電子メールアドレスなど)
について、登録者が受け取れる有効なものが設定されていること
・設定する電子メールアドレスをメーリングリストとし、複数の担当者や担
当部署全体に届くようにすること
・対象となるドメイン名とは別のドメイン名を用いた電子メールアドレスを
登録すること
・届いた電子メールを定期的に確認すること
・届いた電子メールがspamフィルターなどでフィルタリングされないように
しておくこと
などの点に配慮しておくことが重要です。
▼連絡先
本文書に関するお問い合わせは <dnstech-info@jprs.jp> までご連絡ください。
---------------------------------------------------------------------
▼更新履歴
2014/11/05 13:00 初版作成
2015/05/26 11:00 JPドメイン名におけるレジストリロックサービスの提供を反映
株式会社日本レジストリサービス Copyright©2001-2024 Japan Registry Services Co., Ltd.