各位
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140044.html
I. 概要
JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン名ハイジャックのインシデント報告を複数受領しています。
ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧する際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意したサーバに接続していたことを確認しています。
Web サイトなどのドメイン名を使用してサービスを提供しているシステムは、登録情報の不正書き換えによるドメイン名ハイジャックの影響を受ける可能性があります。攻撃による被害を軽減するために、以下の対策および軽減策の適用を検討してください。
II. 対象
本注意喚起はドメイン名登録者やドメイン名管理担当者を対象としています。
III. 攻撃手法
報告を受けたインシデントの原因の全てを確認できてはおりませんが、以下の 4 つのいずれかの攻撃手法が用いられたと考えられます。
(1) ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの
登録情報を書き換える
(2) レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き
換える
(3) レジストラになりすまし、レジストリの登録情報を書き換える
(4) レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き
換える
IV. 対策
攻撃手法 (1) への対策として、ドメイン名登録者やドメイン名管理担当者は、利用している登録情報を管理するための ID やパスワードなどの認証情報が不正に使用されないように適切に管理してください。
攻撃手法 (2) 、(3) および (4) については、レジストラおよびレジストリの管理範囲であり、本注意喚起対象者の管理範囲外となるため、対策と併せて、以下の軽減策の適用を検討してください。
V. 軽減策
管理する登録情報が、不正に書き換えられるインシデントに備えて、早期に検知・対応できるよう、以下の軽減策の適用を検討してください。
- whois などのコマンドを利用し、ネームサーバ情報などの登録情報が正し
く設定されているか定期的に確認する (※)
- 登録情報が不正に書き換えられるインシデントに備えて、レジストラの連
絡先や問い合わせ方法を事前に確認する
(※) JPCERT/CC は、攻撃者に不正に書き換えられた登録情報が、1〜2日程
度で元の登録情報に戻されていたことを確認しています。
VI. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
株式会社日本レジストリサービス (JPRS)
補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
また、本攻撃の類似例や被害事例などの情報をお持ちでしたら、以下の Webフォーム、もしくは電子メールにて、ご報告をお願いします。
Web フォーム: https://form.jpcert.or.jp/
電子メール: info@jpcert.or.jp
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2014-0044
JPCERT/CC
2014-11-05
JPCERT/CC Alert 2014-11-05
登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
https://www.jpcert.or.jp/at/2014/at140044.html
I. 概要
JPCERT/CC は、国内組織が使用している .com ドメイン名の登録情報が不正に書き換えられ、攻撃者が用意したネームサーバの情報が追加されるドメイン名ハイジャックのインシデント報告を複数受領しています。
ドメイン名の登録情報 (以下、登録情報) の不正書き換えによるドメイン名ハイジャックの影響により、一部のユーザが当該組織の Web サイトを閲覧する際の名前解決において、意図しない IP アドレスに誘導され、攻撃者が用意したサーバに接続していたことを確認しています。
Web サイトなどのドメイン名を使用してサービスを提供しているシステムは、登録情報の不正書き換えによるドメイン名ハイジャックの影響を受ける可能性があります。攻撃による被害を軽減するために、以下の対策および軽減策の適用を検討してください。
II. 対象
本注意喚起はドメイン名登録者やドメイン名管理担当者を対象としています。
III. 攻撃手法
報告を受けたインシデントの原因の全てを確認できてはおりませんが、以下の 4 つのいずれかの攻撃手法が用いられたと考えられます。
(1) ドメイン名登録者やドメイン名管理担当者になりすまし、レジストラの
登録情報を書き換える
(2) レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き
換える
(3) レジストラになりすまし、レジストリの登録情報を書き換える
(4) レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き
換える
IV. 対策
攻撃手法 (1) への対策として、ドメイン名登録者やドメイン名管理担当者は、利用している登録情報を管理するための ID やパスワードなどの認証情報が不正に使用されないように適切に管理してください。
攻撃手法 (2) 、(3) および (4) については、レジストラおよびレジストリの管理範囲であり、本注意喚起対象者の管理範囲外となるため、対策と併せて、以下の軽減策の適用を検討してください。
V. 軽減策
管理する登録情報が、不正に書き換えられるインシデントに備えて、早期に検知・対応できるよう、以下の軽減策の適用を検討してください。
- whois などのコマンドを利用し、ネームサーバ情報などの登録情報が正し
く設定されているか定期的に確認する (※)
- 登録情報が不正に書き換えられるインシデントに備えて、レジストラの連
絡先や問い合わせ方法を事前に確認する
(※) JPCERT/CC は、攻撃者に不正に書き換えられた登録情報が、1〜2日程
度で元の登録情報に戻されていたことを確認しています。
VI. 参考情報
株式会社日本レジストリサービス (JPRS)
(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
株式会社日本レジストリサービス (JPRS)
補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
また、本攻撃の類似例や被害事例などの情報をお持ちでしたら、以下の Webフォーム、もしくは電子メールにて、ご報告をお願いします。
Web フォーム: https://form.jpcert.or.jp/
電子メール: info@jpcert.or.jp
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
