マルウェア感染が目的のドメイン名ハイジャックが多発、JPRSら注意喚起

日本レジストリサービス(JPRS)や一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5日、ドメイン名ハイジャックにより、マルウェアに感染させる偽サイトに誘導させる被害が複数報告されているとして、ドメイン名登録者やドメイン名管理担当者に注意を喚起した。

今回報告されたドメイン名ハイジャックは、国内組織が使用している.comドメイン名の登録情報が不正に書き換えられ、攻撃者が用意したネームサーバ情報が追加されるもの。

ネームサーバ情報の登録には、まず登録者が、ドメイン登録業者であるレジストラに、登録者情報やネームサーバ情報を送信。その後レジストラから、ドメイン情報を持つデータベースの管理機関であるレジストリに情報が送られ、ドメイン名とIPアドレスを紐付けるDNSサーバに情報(NSレコード)が設定される。

ドメイン名ハイジャックでは、上記の流れの中で登録情報が不正に書き換えられる。具体的には、下記の事例が多発しているという。これにより最終的にDNSサーバに設定される情報が書き換えられ、不正なサイトに誘導させられてしまう。

登録者になりすまして、レジストラのデータベースを書き換える
レジストラのシステムの脆弱性を突き、データベースを書き換える
レジストラになりすまして、レジストリのデータベースを書き換える
レジストリのシステムの脆弱性を突き、データベースを書き換える

ドメイン名ハイジャックは従来より存在していたが、従来は政治的なメッセージの表示など、示威行為が主流となっていた。