JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > 注意喚起 > 2014 > 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起

最終更新: 2014-11-05

登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起


各位

                                                   JPCERT-AT-2014-0044
                                                             JPCERT/CC
                                                            2014-11-05

                  <<< JPCERT/CC Alert 2014-11-05 >>>

  登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起

            https://www.jpcert.or.jp/at/2014/at140044.html


I. 概要

  JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正
に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン
名ハイジャックのインシデント報告を複数受領しています。

  ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名
ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧す
る際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意
したサーバに接続していたことを確認しています。

  Web サイトなどのドメイン名を使用してサービスを提供しているシステムは、
登録情報の不正書き換えによるドメイン名ハイジャックの影響を受ける可能性
があります。攻撃による被害を軽減するために、以下の対策および軽減策の適
用を検討してください。


II. 対象

  本注意喚起はドメイン名登録者やドメイン名管理担当者を対象としています。


III. 攻撃手法

  報告を受けたインシデントの原因の全てを確認できてはおりませんが、以下
の 4 つのいずれかの攻撃手法が用いられたと考えられます。

  (1) ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの
      登録情報を書き換える
  (2) レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き
      換える
  (3) レジストラになりすまし、レジストリの登録情報を書き換える
  (4) レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き
      換える


IV. 対策

  攻撃手法 (1) への対策として、ドメイン名登録者やドメイン名管理担当者
は、利用している登録情報を管理するための ID やパスワードなどの認証情報
が不正に使用されないように適切に管理してください。

  攻撃手法 (2) 、(3) および (4) については、レジストラおよびレジストリ
の管理範囲であり、本注意喚起対象者の管理範囲外となるため、対策と併せて、
以下の軽減策の適用を検討してください。


V. 軽減策

  管理する登録情報が、不正に書き換えられるインシデントに備えて、早期に
検知・対応できるよう、以下の軽減策の適用を検討してください。

  - whois などのコマンドを利用し、ネームサーバ情報などの登録情報が正し
    く設定されているか定期的に確認する (※)
  - 登録情報が不正に書き換えられるインシデントに備えて、レジストラの連
    絡先や問い合わせ方法を事前に確認する

  (※) JPCERT/CC は、攻撃者に不正に書き換えられた登録情報が、1〜2日程
       度で元の登録情報に戻されていたことを確認しています。


VI. 参考情報

    株式会社日本レジストリサービス (JPRS)
    (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
    http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html

    株式会社日本レジストリサービス (JPRS)
    補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
    http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
  また、本攻撃の類似例や被害事例などの情報をお持ちでしたら、以下の Web
フォーム、もしくは電子メールにて、ご報告をお願いします。

    Web フォーム: https://form.jpcert.or.jp/
    電子メール: info@jpcert.or.jp


======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english