ドメイン名ハイジャックとは? ドメインの乗っ取りを防ぐために押さえておきたいこと
- INDEX
-
公式ページやオンラインサービスを運用している場合、ドメイン名ハイジャックへの対策を行う必要があります。なぜなら、顧客やユーザーを悪質なサイトに誘導されてしまうことで、企業や組織としての信頼を失ってしまう可能性があるからです。
今回はドメイン名ハイジャックに関する基礎知識、ドメイン名ハイジャックにおける3つの手法の概要、そしてドメイン名ハイジャック対策も含めてセキュリティを強化する方法についてお話します。
ドメイン名ハイジャックに関する基礎知識
はじめにドメイン名ハイジャックに関する基礎知識について簡単に説明します。
ドメイン名ハイジャックとは
ドメイン名ハイジャックとは、ドメイン所有者以外の人物がドメインへのアクセスを乗っ取る(ハイジャックする)ことを意味します。公式ドメインだった場合、企業や組織として信頼してアクセスした人が、安易に騙されてしまうこともあり、ドメイン名ハイジャックへの対策は非常に大切です。
他のサイバー攻撃にも言えることではありますが、ドメイン名ハイジャックは「乗っ取られてからでは遅い」サイバー攻撃と言えます。そのため、事前の対策やドメイン名ハイジャックも含めたセキュリティ対策を講じない場合、他のサイバー攻撃を介して乗っ取りがおこなわれることもあるでしょう。
ドメイン名ハイジャックの仕組み
ドメイン名ハイジャックにおける3つの乗っ取りの手法を見てみましょう。
1.レジストリ情報の書き換え
2.権威DNSサーバーに不正な値を登録
3.キャッシュDNSサーバの悪用
詳しくは後述しますが、上記が乗っ取り手法の一例です。間接的にはドメインやサーバーの管理権限を持つデバイスやアカウントの奪取、不正アクセスや不正操作によって、上記と同様の行為が行われることも考えられます。
簡単に言えば、「example.com」を所有していた場合、本来であれば、正規のサーバーに接続されるはずが、他のサーバーに接続されてしまうことで、ブラウザに表示される内容を丸ごと悪用できる仕組みと言えます。
ドメイン名ハイジャックの危険性
ドメインへのアクセスをそのまま転送し、詐欺サイト・フィッシングサイト・マルウェアやスクリプトの仕込まれたサイトに誘導されてしまうこともあるため、アクセスした人が何らかの被害を受ける可能性が高いです。極端なことを言えば、企業や組織だと信じて個人情報やクレジットカード情報、オンラインバンキング、そもそも何らかのIDやパスワード情報を教えてしまう可能性も考えられます。
また、例えば「example.com」というドメインを所有していたとして、企業や組織としての公式ドメインだった場合、「example.com」というドメインを人質として金銭を要求されるケースもあります。同じく暗号化して金銭を要求する「ランサムウェア」にも共通しますが、企業や組織として支払える金額を要求してくる可能性もあること、何度も要求してくることもあるので非常に危険です。
ドメイン名ハイジャックにおける3つの手法の概要
次にドメイン名ハイジャックにおける3つの手法とそれぞれの対策について解説します。
1.レジストリ情報の書き換え
レジストリとはサーバーやパソコンの設定情報です。そして、サーバーのレジストリ情報の中の「ネームサーバーの設定」が、ドメインとサーバーをつなぐ情報であり、正当な設定であれば、本来の所有者の望むサーバーに転送され、ブラウザなどに情報が表示されます。
そして、ドメイン名ハイジャックにおける手法の1つが、ネームサーバーの設定を悪意のある第三者のサーバーに書き換えるという手法です。ネームサーバーの設置を書き換えるだけで、本来の所有者が望むサーバーには転送されません。
一般的な人であれば、レジストリのネームサーバーの情報が書き換えられていることはわからないため「ドメインが正しいのに詐欺にあった」ような錯覚に陥る可能性が高いです。また、元々のサイトと同じデザインや機能をしていた場合など、いつもと同じようにログインや商品の購入、課金をしてしまうことで、フィッシングサイトのように情報を盗まれてしまうことも考えられます。
2.権威DNSサーバーに不正な値を登録
権威DNSサーバーとは、ざっくり説明すると、DNSサーバーの管理を行っているサーバー、提供元です。例えば、ドメイン取得やレンタルサーバーなど、ドメインを取得して、どこのサーバーに接続するか、もしくはどのDNSサーバーに接続するかを答えるサービス、提供元と言えます。
ブラウザからドメインにアクセスすると、権威DNSサーバーおよびDNSサーバーのドメインをIPアドレスと照合してサーバーに接続され、ブラウザに情報が表示されます。そのため、権威DNSサーバーの情報が不正な値=悪意のある第三者のサーバーに書き換えられてしまえば、結果として訪問したユーザーすべてが誘導されてしまうのです。
レジストリ情報の書き換えと同様に、一般的なユーザーであれば見分けは付きませんし、「ドメインを確認してみよう」と考えるユーザーであっても、ドメイン自体は正しいため騙されてしまう可能性が高いです。
3.キャッシュDNSサーバーの悪用
キャッシュDNSサーバーの悪用とは、キャッシュに不正な値を伝えてキャッシュさせてしまうことで、所有者の意図しないサーバーに接続させる手法です。キャッシュDNSサーバー(フルサービスリゾルバー)は権威DNSサーバーに接続して問い合わせて返答する仕組みですが、既に問い合わせて返答した情報については、権威DNSに接続して問い合わせることなく返答します。
そのため、キャッシュDNSサーバーのキャッシュを悪用されてしまうと、権威DNSサーバーを介さずに所有者の意図しないサーバーに接続されてしまいます。キャッシュDNSサーバーの場合においても、ドメイン自体は同じなため、閲覧したユーザーに迷惑をかけてしまう可能性は高いです。
ドメイン名ハイジャック対策も含めてセキュリティを強化する方法
次にドメイン名ハイジャック対策も含めてセキュリティを強化する方法について解説します。
ドメインやサーバーのセキュリティ機能をしっかりと利用する
ドメイン名ハイジャックは、基本的にはドメインやサーバーなどの仕組みを熟知して、それぞれが提供するセキュリティの機能を駆使することが重要です。例えば、レジストリをロックする機能を利用すれば、レジストリの書き換えがしにくくなりますし、ソースポートランダマイゼーションの機能があれば、キャッシュDNSサーバーの問い合わせ先をランダムにすることで悪用される可能性が低減できます。
また、ドメインやサーバーに関するセキュリティ機能を駆使するだけでなく、デバイス・パソコン・アカウント情報の乗っ取りや盗難を防ぐことも忘れてはいけません。例えば、権威DNSサーバーの設定においては、ドメイン管理サービスへのログイン情報が安易なものでログインされてしまったり、乗っ取られたデバイスを不正操作したりすることで突破されてしまうためです。後述するIT資産管理や情報資産管理、権限や制御、監視などの技術と合わせて対策しましょう。
IT資産管理と情報資産管理の仕組み・技術を導入する
IT資産管理とは、デバイスなどハードウェアやOS、ソフトウェアを一元管理する仕組みのことです。同様に情報資産管理とはデータを安心・安全に一元管理する考え方、仕組みと言えます。これらの管理する仕組みを備えたソフトウェアを導入することでセキュリティ全般への対策が強化できます。
権限の割り当て、アクセス制御、監視などの技術の導入も視野に
IT資産管理や情報資産管理を導入することで、権限の割り当てやアクセス制御、監視の技術も視野に入ります。ドメイン名ハイジャックも含めて、被害を受ける可能性を高めてしまうのは「把握および監視できていないこと」が原因です。同じく誰でもアクセスできるようにIDやパスワードを共有していたり、ログイン情報がオープンな場所に保存されていたりするのもリスクでしかありません。
必要な人が必要な権限を持ち、必要な人がアクセスできるようにすること、同時にファイルやサイトへのアクセス履歴およびログ、PC操作ログなどを監視することで、情報漏えいや乗っ取りによる被害への対策となることを覚えておきましょう。
まとめ:セキュリティ基盤を強化して不正やデータ改ざんを防ごう!
今回はドメイン名ハイジャックに関する基礎知識、ドメイン名ハイジャックにおける3つの手法と概要、そしてドメイン名ハイジャック対策も含めてセキュリティを強化する方法についてお話しました。ドメイン名ハイジャック対策には、セキュリティ基盤の構築と強化が必須です。さまざまなサイバー攻撃、詐欺的手法から身を守るためにもゼロトラスト・IT資産管理・情報資産管理などの仕組みの導入を検討してみてください。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、ドメイン名ハイジャック対策も含めて、セキュリティ全般を強化できます。公式ページやオンラインサービスを安心・安全に運用できるようになりますので、ぜひともこの機会にご相談、お問い合わせください。