2019年4月に、人気アニメ「ラブライブ!」の公式サイトが改ざんされたというニュースがインターネットで話題となりました。この事件はサーバーに対する不正アクセスではなく、ライブライブの公式サイトで運用されていたドメイン名が乗っ取られたことで、被害が発生した事件でした。
このようにドメイン名が第三者に乗っ取られてしまうことを、「ドメイン名ハイジャック」と言います。なにやら物騒な名前ですが、ドメイン名ハイジャックとはどのように行われて、どのような被害が発生してしまうのでしょうか。今回はドメイン名ハイジャックの概要と被害の実例、そして具体的な対策方法について紹介します。
ドメイン名ハイジャックとは
ドメイン名ハイジャックとは既存のドメイン名を何らかの方法で乗っ取る行為のことを言います。ドメイン名とはインターネット上のサーバーに付けられたラベルのようなもののことです。通常、ネットワーク上のコンピュータは「IPアドレス」を設定することで識別しますが、数字の羅列であるIPアドレスでは使い勝手が悪いので、人間にとってわかりやすい文字列である「ドメイン名」を設定します。
例えばブラウザでWebサイトを閲覧する時、アドレスバーにドメインを入力します。入力されたドメインはコンピュータ内部で対応するIPアドレスへと変換されます。このIPアドレスとドメイン名の対応を行っているのが「DNSサーバー」です。
DNSサーバーに登録されているWebサイトに関する情報を不正に書き換えることで、特定のドメイン名にアクセスした時に、正規のWebサイトではなく偽のWebサイトへと誘導する手口が「ドメイン名ハイジャック」です。
ドメイン名ハイジャックの仕組み
ドメイン名ハイジャックにはいくつかの手法があります。代表的なものを3つ紹介します。
- レジストリに登録されている情報を不正に書き換える
- 権威DNSサーバーに不正なデータを登録する
- キャッシュDNSサーバーに不正なデータをキャッシュさせる
これら3つの方法はどれもドメイン名ハイジャックの方法として悪用されます。少し難しい言葉が出てきたので解説します。
レジストリとは
まず、レジストリとは登録済みのドメイン名と登録者の情報を管理している「データベース」のことです。
ドメインには「.com」や「.net」そして「.jp」など、ドメイン名の最後に付けられる「トップレベルドメイン」がありますが、レジストリはこれらのトップレベルドメイン毎に1つのみ存在する一番上位の機関です。つまりレジストリはトップレベルの数だけ存在します。ドメインの情報は「Whois」というサービスで得ることが可能であるため、レジストリとは「Whoisデータベース」と言うこともできるでしょう。
権威DNSサーバーとは
権威DNSサーバーとは自分が管理しているドメインの情報をリクエストに応じてインターネットに公開する役割を持つDNSサーバーです。DNSコンテンツサーバーとも呼ばれます。
キャッシュDNSサーバーとは
一方「キャッシュDNSサーバー」はユーザーからのリクエストに応じて、権威DNSサーバーを使って名前解決を行うDNSサーバーのことです。
私たちがインターネットを使う時には、裏方としてキャッシュDNSサーバーが権威DNSサーバーからドメインの情報を取得して、キャッシュDNSサーバーが取得したドメインの情報を、ブラウザなどが利用しているのです。
情報を書き換え不正サイトへ転送させる仕組み
ドメイン名ハイジャックの仕組みをまとめると、DNSサーバーに保存されている情報を不正に書き換えて、その情報をクライアントに利用させることで、正規のWebサーバーではなく、不正なWebサーバーへと転送させてしまう、ということになります。
ドメイン名ハイジャックの被害事例
日本国内でもドメイン名ハイジャックの被害が報告されています。株式会社日本経済新聞社と、冒頭で紹介したラブライブの公式サイトの2つについて紹介します。
1. 株式会社日本経済新聞社
2014年の9月から10月にかけて、複数の国内サイトがドメイン名ハイジャックの被害にあったことをJPCERTが確認しました。この時、日本経済新聞の電子版やNikkei Asian Reviewなどが影響を受けたことが明らかとなりました。ドメイン情報が書き換えられていた時間は数時間から数日とのことですが、サーバーに対する不正侵入やウィルス感染などの報告はなかったとのことです。
参照インターネットの根幹の仕組みに攻撃、本社も対象に/日本経済新聞
2. ラブライブ!公式サイト
2019年4月5日未明から、人気アニメシリーズ「ラブライブ!」の公式サイトが正常に表示されない状態となっていました。Webサイトには「ラブライブは我々が頂いた!」とのテキストが表示される状態となっており、一時は別のゲームサイトへ誘導されるリンクが表示されていたようです。この事件では不正なドメインの移管があったとのことで、4月11日にはドメインは元の持ち主へと復帰しサイトも再開されたとのことです。
参照人気アニメ「ラブライブ!」公式サイトが乗っ取られる/日本経済新聞
ドメイン名ハイジャックへの対策
ドメイン名ハイジャックはどのように防御すればよいのでしょうか。具体的な対策方法について5つ紹介します。
1. ID・パスワードを適切に管理する
ドメイン名の管理者や登録者は、登録されている情報を管理するためのIDやパスワードを適切に管理することが重要です。特にドメイン取得代行業者などを利用している場合、管理画面へ不正アクセスされないように、IDとパスワードは厳重に管理しましょう。
2. 登録情報を定期的に確認する
ドメインやIPアドレスの情報を表示させるサービスとして「WHOIS」というものがあります。
サイトWhois
このようなサービスを利用すると、使用しているドメイン名に設定されている登録情報の確認ができます。低定期的に確認して、正しい登録情報が設定されているかチェックしましょう。
3. DNSサーバーの設定を確認する
DNSサーバーの設定も定期的に確認することが重要です。ドメイン名ハイジャックでは、ドメイン名の登録情報のうちDNSのネームサーバー情報が不正に書き換えられることで、ユーザーがWebサイトにアクセスした時に、正規のサイトではなく、攻撃者が用意したサーバーへ誘導されることがあります。
実際にネームサーバー情報が書き換えられても、攻撃者が正規のサイトとそっくりなものを準備している場合、早期発見が難しいこともあります。このようなケースがあることも踏まえ、Webサイトの実際の見た目だけでなく、DNSのネームサーバーの情報そのものを定期的にチェックすることが重要です。
4. レジストリロックを導入する
レジストリロックとはドメイン名の登録情報である「登録者の氏名」「組織名」「ネームサーバーの設定」などを意図せず書き換えられることを防ぐために、情報をロックして変更の申請を制限するものです。ドメイン取得代行業者のオプションサービスとして利用することができます。
5. セキュリティサービスを利用する(お名前.com「ドメインプロテクション」など)
お名前.comなどの一部のドメイン取得代行業者では「ドメインプロテクション」などのドメイン名に対するセキュリティサービスを提供しています。
ドメインプロテクションとはドメイン取得代行業者の管理画面内にて、ドメインに関する操作を制限することができるサービスです。設定や変更するために、ドメイン登録者の承認を必要とさせることができ、承認することによって操作制限されている手続きを進めることができるようになります。
セキュリティ対策としてだけでなく、誤操作対策としても有効なサービスです。有料オプションとなりますが、ドメイン名の管理について一歩進んだセキュリティ対策として有効なサービスです。
まとめ
ドメイン名ハイジャックはフィッシング詐欺と併用されて被害が発生することがあります。フィッシング詐欺サイトの判別方法の一つにブラウザのアドレスバーを確認するという方法がとられますが、ドメイン名が乗っ取られている場合、正規のアドレスと同じURLにて偽のサイトへと誘導されてしまうため、気づきにくいことも被害を拡大する要因となります。
4月に発生したラブライブ!の事件では、ちょっとしたいたずら程度でしたが、過去には偽の誘導先サイトでマルウェアの注入を図る行為が確認されたこともあります。
Webサイトを適切に運営することは企業活動としても重要な課題の一つです。悪質な行為をする者が最も悪いのは当然ですが、不測の事態を想定せず、いい加減な管理の結果として被害に遭った場合、企業イメージの低下にもつながります。Webサイトへの不正アクセスと合わせて、適切なドメイン管理をすることもWebサイトの運営において重要な課題であると言えるでしょう。
また「レジストラ」という言葉も押さえておきましょう。レジストラとはドメインをレジストリに登録することができる事業者のことです。ドメインは誰でも彼でも好き勝手にレジストリに登録することはできません。
レジストラはドメインをレジストリに登録するための権限を持ち、ドメインの登録は必ずレジストラを介して申請します。レジストラは配下に代理店を持つこともあり、代理店はレジストラを通じてドメインの登録・販売を行っています。