今度は「ドメイン名ハイジャック」ですか。

ずいぶん派手な攻撃名が付けられたものです。
毎度この手のサイバー攻撃を命名する方の素晴らしいセンスを感じないわけにはいきません。

JPCERT/CC: 「登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起」
https://www.jpcert.or.jp/at/2014/at140044.html

ところで早速この攻撃を受けたとされる大手新聞社関連サイトのドメインを調査しに逝ってみたところ、whois情報からドメインレジストラが判明しました。こういうダダ漏れのところが大好きです、ビバ！インターネッツ！

この有名なレジストラの仕様を改めて確認したところ、あろうことか利用者登録する際に任意のIDつまりメールアドレスが使用できるようになっているようです。当ブログをお読みになっている方ならもうお分かりですね？このようなユーザ認証方式を採用している場合に真っ先に考えられるサイバー攻撃がパスワードリスト攻撃です。

つまり、今やブラックマーケットで簡単に入手できるとされているログイン情報（メールアドレス＋パスワードの組み合わせが多い）の中から影響力の高そうなドメインの管理者アカウントを抽出し、whois情報からレジストラを割りだし、不正にドメイン管理者としてログインを試み、ドメイン情報の中で特に重要なネームサーバ情報を書き替え、不正サイトに誘導させるということが行われたと考えられます。

また、攻撃対象のドメインがあらかじめ分かっていてかつレジストラがメールアドレスをログインIDに用いることができる仕様になっていれば、ドメイン管理者が使用しそうなメールアドレス、例えば
webmaster@shinkaku.com
root@shinkaku.com
admin@shinkaku.com
administrator@shinkaku.com
と、ありがちなパスワードの"123456"や"password"で難なくログインに成功してしまうかもしれません。

何度も言うようですが、ログインIDにメールアドレスや任意の文字列を利用できるような仕様を放置採用しているサイト管理者の方々には対策をお勧めします。
→ 不正ログイン防止設計について


2014/11/7 19:16 追記

海外のメジャーなレジストラのアカウント仕様をいくつか確認したところ、ログインIDを任意に設定できる方がむしろスタンダードなようです。したがって、お名前.comのようにIDが払い出されるレジストラの方が少数派かもしれません。