インターネットの根幹をなすシステムのひとつにDNSがあります。DNSはドメイン名を管理し、適切な通信先への橋渡しをする仕組みですが、DNSハイジャックを受けると、橋渡しが不正に行われてしまいます。本記事では、DNSハイジャックについて、主な手口や事例、具体的な対策を解説します。

DNSハイジャックとは

DNSハイジャックとは、なんらかの不正な方法で、攻撃対象のドメイン名を自由に操作できる状態にすることです。ドメイン名とは、インターネット上のサーバーに付けられたラベルのことで、IPアドレスとドメイン名をひも付けて判別しやすくするために設定します。

ドメイン名とIPアドレスを結び付けているのがDNSサーバーで、DNSサーバーに登録されている情報を不正に書き換えて、偽のサイトへ誘導する行為がDNSハイジャックです。

DNSハイジャックの主な手口

DNSハイジャックの主な手口は以下の4つです。ひとつずつみていきましょう。

窃取したアカウント情報でレジストラの情報を変更

不正アクセスなどで窃取したドメイン名所有者のアカウント情報を利用して、レジストラのデータベースに登録されたドメイン名情報を変更し、不正なDNSサーバーを登録します。レジストラとは、ドメイン名をレジストリのデータベースに登録できる事業者のことです。この行為により、不正なDNSサーバーが正式な対象ドメインのDNSサーバーとして稼働してしまうのです。

レジストリの書き換え

レジストリとは、「.com」や「.net」、「.jp」などのトップレベルドメインにひとつだけ存在する登録済みのドメイン名やIPアドレス、AS番号といったインターネット資源の登録・割り当てを担当する組織です。このレジストリが管理するシステムの脆弱性を利用して、DNSレコードを偽サイトのものに書き換えて偽サイトへの誘導を狙います。

偽サイトでは、本物のサイトに見せかけてログイン情報を窃取する、不正なソフトウェアをダウンロードさせるなどの動作が実施されます。

コンテンツDNSサーバーへ偽サイトのデータを登録

コンテンツDNSサーバーとは、ドメインの情報をインターネットに公開するDNSサーバーのことです。権威DNSサーバーとも呼ばれます。

窃取したアカウントや脆弱性を利用してコンテンツDNSサーバーを乗っ取り、設定されたDNSレコードを改ざんすることで偽サイトへの誘導を狙います。

キャッシュDNSサーバーに偽サイトのデータをキャッシュ

キャッシュDNSサーバーとは、コンテンツDNSサーバーとの通信で名前解決を行うDNSサーバーです。このキャッシュDNSサーバーに対して偽の情報を送りこみ、DNSレコードを書き換えて偽サイトへ誘導します。

この手段はDNSキャッシュを汚染する行為であることから、DNSキャッシュポイズニングとも呼ばれます。

DNSハイジャックを受けた場合の影響

DNSハイジャックを受けた場合には、下記のような影響が考えられます。

  • 正規サービスの提供停止
  • ECサイトなどでの大きな逸失利益
  • ブランド力の低下、信頼失墜
  • 不正サイトへの誘導
  • 攻撃者が用意したメールサーバーに転送させて盗聴
  • インターネットバンキングのアカウント窃取
  • 暗号資産運営事業者からの不正送金

DNSハイジャックはドメイン名の乗っ取り自体が目的ではなく、別の攻撃を成功させるための手段として利用されることが多いです。

DNSハイジャックの発生事例

DNSハイジャックが発生すると、どのような状態になるのかを、実際の事例から見ていきます。

今回紹介する事例では幸い明確な被害は発生していませんが、日本企業でも狙われるので対岸の火事にせず対策を怠らないようにしましょう。

大手アニメタイトルの公式サイト書き換え

2019年4月5日未明から、大手アニメタイトルの公式サイトが正常に表示されない状態が続きました。

被害を受けたサイトのトップページには「ラブライブは我々が頂いた!」「我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった」という文章が表示されていました。数日後にはサイトが復旧し、再開しています。

原因ははっきりしていませんが、担当者が誤ってドメイン移転の承認をしてしまったか、もしくはJPRSの「汎用JPドメイン名登録申請等の取次に関する規則」の第11条第2項の内容が悪用されたのではないかといわれています。第11条第2項の内容は下記の通りです。

当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答をしない場合には、指定事業者において登録者の意思確認等を行い、登録者がその意思を有する旨の回答を得たものとみなす。

出典:汎用JPドメイン名登録申請等の取次に関する規則_第11条2項|株式会社日本レジストリサービス

移転元の事業者(レジストラ)が10日以内に返信をしなければ、移転先にドメイン所有の権限が移ります。JPRSとやりとりするほとんどのレジストラは、移転元からの申請が無ければJPRSに対して10日以内に「不承認」の回答を返すようですが、対応の不備を突かれた可能性も残っています。

暗号資産取引所のサービスレスポンスが遅延

2020年6月、大手の暗号資産取引所が契約しているドメイン名登録サービスの社有アカウントが不正アクセスを受け、登録情報が何者かによって書き換えられました。このことによりサービスのレスポンスタイムが著しく遅延しました。

監視システムの検知による早期発見と迅速な対応により、幸いなことに実害は出ていません。

大手新聞社のドメイン情報が数時間~数日書き換えられたが被害なし

一般社団法人JPCERTコーディネーションセンターの調査によると、2014年の9月から10月にかけて、多数のWebサイトにDNSハイジャックによる被害が出たことが判明しています。

大手新聞社のドメイン情報も数時間から数日書き換えられましたが、幸いなことに被害は確認されていません。

DNSハイジャックへの対策

DNSハイジャックの被害に遭わないためにはどうすればよいのでしょうか。具体的な対策を見ていきましょう。

ID・パスワードの適切な管理

ドメインの各種情報の設定画面に不正ログインされないように、アカウント情報の適切な管理が必要です。特にパスワードについては簡単に破られないように、十分な複雑さのパスワードを設定しましょう。

パスワードを破られるまでの時間を表示する「How Secure Is My Password? | Password Strength Checker」では、9桁の英字+1桁の数字+1桁の記号を組み合わせると、解読に200年の時間を要するとの判定が出ています。

解読に使用するコンピューターの性能によっても解読時間は変わってきますが、11桁以上の英数字記号を含むランダムな文字列を目安にパスワードを設定するとよいでしょう。

定期的なDNS登録情報の確認

WHOIS/JPRS」のようなドメイン名登録情報の検索サービスサイトで、自社のドメインに設定されている各種情報を確認できます。不正なアクセスを受けた場合には情報を書き換えられてしまうこともあるため、設定した情報に異常がないか、一定の周期で確認しましょう。

定期的なDNSレコードの確認

DNSハイジャックでは、DNSレコードを改ざんすることによって偽サイトへ誘導します。Webサイトの実際の見た目だけでなく、DNSレコードも定期的に確認しましょう。

レジストリロック

レジストリロックとは、ドメイン名の登録情報である「登録者の氏名」「組織名」「ネームサーバーの設定」などをロックして、変更の申請を制限することです。ドメイン名取得代行業者によっては、オプションサービスとして利用できることがあります。そのほか、情報変更時のメール通知といったオプションサービスを最大限利用しましょう。

セキュリティサービスを利用する

例えば、ウェブルートの「Webroot® DNS Protection」なら、DNSハイジャックのリスクを低減できます。 Webroot® DNS Protectionには、次のような特徴があります。

  • 数分でできるセットアップ
  • カスタムポリシーでインターネット使用を制御
  • 多くのマルウェア侵入を阻止
  • 危険で疑わしいサイトへのアクセスをブロック
  • 詳細なレポートをオンデマンドで取得

これらの特徴により、DNSハイジャックや関連するサイバー攻撃の脅威を最小限に抑えられます。製品について詳しくはWebroot® DNS Protectionをご覧ください。

適切な対策でDNSハイジャックのリスク低減を

なんらかの不正な方法で、攻撃対象のドメインを自由に操作できる状態にするDNSハイジャックを受けると、偽サイトへ誘導されてしまいます。DNSハイジャックに対抗するには、定期的な情報の確認やセキュリティサービスの活用が必要です。

適切な対策を講じて、DNSハイジャックのリスクを低減しましょう。