ドメイン名の管理権限やIPアドレスの対応関係を、攻撃者が乗っ取ること
ドメイン名ハイジャックは、何らかの方法でドメイン名を乗っ取る行為。被害に遭うと、正規のサーバーへドメイン名によるアクセスができなくなり、サービスに支障が出る。
インターネットでは、「ドメイン名」を利用し、DNSによってIPアドレスを変換することで、サーバーへのアクセスを実現している。そのため、ドメイン情報を乗っ取ることは、サーバーへのアクセス経路を乗っ取ることと同じとなり、正規サーバーへのアクセスが阻害される。
権威DNSサーバーを乗っ取り、DNSレコードを書き換える方法のほか、レジストリやレジストラが管理するドメイン名登録情報を不正に書き換えて不正な権威DNSサーバーを登録する、攻撃者が管理するレジストリへ不正にドメインを移管してしまう、といった方法もある。
またキャッシュDNSサーバーに一時保存してあるドメイン名とIPアドレスの対応情報を不正に書き換える「DNSキャッシュポイズニング」なども、影響範囲が狭いが、広義におけるドメインハイジャックの一種と言っても良いだろう。
以前は、ドメイン名ハイジャックが社会運動のために行われ、政治的な主張などを表示するページに転送する行為などに悪用されるケースが多かった。こういったドメイン名ハイジャックは、比較的、被害に遭っていることが明確な場合が多かったが、最近では、マルウェアを配布するサイトや金融機関のアカウント情報を盗むフィッシング詐欺サイトなど、正規サイトと酷似した偽サイトに誘導する攻撃などへ悪用されている。
影響
ドメインがハイジャックされた場合、正規サービスの提供ができなくなる。業務ができなくなり、eコマースサイトなどでは、大きな逸失利益が生じる可能性がある。
また、利用者が攻撃者が用意したサーバーに誘導される二次被害が発生する可能性もある。ブランドでもあるドメイン名が悪用されれば、ブランド力の低下、信頼失墜にも繋がりかねない。
不正サイトへの誘導はもちろん、メールの配送先を不正に書き換えて攻撃者が用意したメールサーバーに転送させて盗聴し、正規のメールサーバーに中継する中間者攻撃など、さまざまな攻撃へ悪用されるおそれもある。
アクセスする利用者が、正規のドメイン名やURLを指定しても、不正なサーバーへ誘導されてしまうため、二次被害に発展しすい。攻撃者もそのことを理解しており、ドメイン名ハイジャックそのものが目的ではなく、別の攻撃を成功させるための手段として利用している。
主な感染/被害の流れ
- ドメイン名所有者のアカウント情報を窃取→レジストラのデータベースに登録されたドメイン名情報を変更
- レジストラやレジストリのシステムの脆弱性を悪用→データベースに登録されたドメイン名情報を書き換え
- DNSサーバーの不適切な管理→第三者に管理権限を奪われサーバーの乗っ取り→DNSレコードの変更
- キャッシュDNSサーバーに一時保存してあるドメイン名とIPアドレスの対応情報を書き換え
主な対策と注意点
ドメイン保有者の対策
- ドメイン名登録者や管理者は、登録情報の管理に使用するIDとパスワードを適切に管理する
- ドメイン名やIPアドレスを検索する「WHOIS」を利用し、登録情報に誤りがないか定期的に確認する
- DNSサーバーが正しく設定されているか確認する
- 登録情報をロックして書き換えを防ぐ「レジストリロック」を導入する
- 登録情報の変更時に、レジストラがメールで通知するサービスを活用する
- 登録情報の不正書き換えに備えて、レジストラの連絡先を予め確認しておく
レジストリやレジストラで発生する情報の不正書き換えについては、企業側の対策で防ぐことはできない。そのため、攻撃の発生を前提として、被害が発生した場合の対応手順を確認しておく。