国内組織が使用しているドメイン名(インターネット上の住所)の登録情報が不正に書き換えられる攻撃が、9月から10月にかけて行われていたことがわかった。「.com」のアドレスを利用する一部のWebサイトを閲覧した場合、閲覧者は攻撃者が用意した不正サイトへ誘導された。
JPドメイン名の登録管理業務等を行っている日本レジストリサービス (JPRS)が5日に発表した文書によると、国内組織が運用する複数の.comサイトが、ドメイン名の登録情報の不正書き換えによるドメイン名ハイジャックの被害を受けた。
これまでの発生事例では、誘導先の偽サイトでは、政治的スローガン等が表示される程度の「示威行為」に留まっていたという。しかし、今回の攻撃では、偽サイトからマルウェアに感染させようとする行為が確認されており、Webサイトだけでなくその閲覧者も直接の攻撃対象となっている。
被害状況を調査しているJPCERT/CC(JPCERTコーディネーションセンター)によれば、攻撃者に不正に書き換えられた登録情報は、1~2日程度で元の登録情報に戻された。日本経済新聞社が運営するニュースサイト「日本経済新聞 電子版」および「Nikkei Asian Review」もこの攻撃の影響を受けたが、現時点では同社設備への不正侵入の形跡や情報漏えい・流出などの報告はないという。
この攻撃を一般ユーザーが回避する方法はないことから、JPRSおよびJPCERT/CCは、ドメイン名登録者やドメイン名管理担当者に対し、攻撃手法を理解し適切な対策をとるよう呼びかけている。
(2014/11/06 ネットセキュリティニュース)
【関連URL】
・登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起(JPCERT)
http://www.jpcert.or.jp/at/2014/at140044.html
・(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について (JPRS)
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
・補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について [PDF](JPRS)
http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf
・インターネットの根幹の仕組みに攻撃、本社も対象に(日本経済新聞)
http://www.nikkei.com/article/DGXLASDZ05H3S_V01C14A1000000/