こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月25日、フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件について、ブログで発表した。インシデントレスポンスグループの水野哲也氏が執筆している。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】攻撃者にドメイン名が乗っ取られるドメインハイジャックについて発表されています。ドメインハイジャックの手口と、その対策について説明します。
今回のブログは、JPCERT/CCが2023年7月上旬に確認した、日本国内で利用されていたドメインが不正に別のレジストラーに移管されるドメインハイジャックの事例について紹介しています。同ブログによると、攻撃者は事前に検索サイトの広告でレジストラーのフィッシングサイトが表示されるよう準備していたということです。
ブログで発表されているドメインハイジャックの手口について説明します。
ドメインハイジャックとは、悪意ある第三者が不正な方法でドメイン名を乗っ取り、書き換えることで、被害者を偽のサイトに誘導したり、個人情報を抜き取ったりするサイバー攻撃です。被害者は自分が正規のサイトにアクセスしていると思い込み、個人情報を入力してしまう可能性があります。
例えば、Aさんがイベントへ参加する際に名札を付けていたとします。Aさんと話がしたい人は、名札を手掛かりに探すことになりますが、仮にその名札が入れ替わってしまうと、Aさんの名札を付けた他人を参加者はAさんと思い込んで、話しかけてしまうかもしれません。
ドメインハイジャックも同様に、ドメインが乗っ取られてしまうことで、そのドメインが割り当てられた本物ではないフィッシングサイトを、正規のサイトと認識してしまうかもしれません。
ドメインハイジャックでは、フィッシングサイトにアクセスしたドメイン管理担当者が認証情報を入力することで、攻撃者にその情報が窃取されます。フィッシングサイトに認証情報を入力すると、正規サイトにログイン済みの状態としてリダイレクトされる仕組みとなっていたため、フィッシング被害に気付きにくいようになってたということです。
ドメインハイジャックの対策は、認証情報を窃取される前と後に分かれます。
ドメインハイジャックでは、フィッシングサイトなどで認証情報が窃取されることについて説明させていただきました。よって、ドメインハイジャックの対策は、認証情報が窃取されないための対策と、認証情報が窃取されてもドメインを保護する対策に分かれます。
認証情報が窃取されないための対策として、フィッシング詐欺の一般的な対策が有効です。具体的には、検索サイトで表示されたリンクが正しいものと断定せず、確認済みの公式アプリや、Webブラウザのブックマークからアクセスすることが挙げられます。
認証情報が窃取された場合の対策として、ドメイン名の登録情報を定期的に確認することや、ドメイン移管ロックの機能など、ドメイン会社のセキュリティサービスを利用することが挙げられます。ただし、攻撃者によってセキュリティサービスが解除されてしまう可能性があることについて注意することが必要です。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
