「登録情報の不正書き換えによるドメイン名ハイジャック(ドメイン名乗っ取り)」という耳慣れない攻撃手法の多発によって、企業がセキュリティ事件に巻き込まれるリスクが高まっている。同攻撃手法による被害は2年ほど前から海外では確認されていたが、2014年に入ってついに国内企業にもその矛先が向けられた。9月から10月にかけて、日本経済新聞社やはてななど複数の国内企業のWebサイトが被害に遭っていたことが判明している。
こうした状況を受けて11月上旬、JPCERTコーディネーションセンター(JPCERT/CC)やJPドメイン名を管理する日本レジストリサービス(JPRS)は、国内のドメイン名ユーザーに対して広く警戒を呼びかけた(関連記事:登録情報不正書き換えによる「ドメイン名乗っ取り」、JPRSが緊急警告)。その後約1カ月が経過して、その後国内企業が被害に遭ったという追加報告は出ていないが、企業がドメイン名ハイジャック攻撃を受けるリスクが減ったわけではない。では企業はこの攻撃にどういった対策を取るべきなのか。
大もとの情報を書き換えてユーザーを別サーバーに誘導
ドメイン名ハイジャック攻撃は、アプリケーションの脆弱性のようにパッチを当てれば防げるものではなく、仕組み上、個々の企業の対策だけで完全に防ぐことは不可能。「対策を取ることでリスクを下げられるものの、依然として“穴”が残る」状態だ。
登録情報の不正書き換えによるドメイン名ハイジャックとは、「ドメイン名の管理事業者(レジストリ)や登録事業者(レジストラ)のデータベースに登録されたドメイン名情報を不正に書き換える」攻撃手法である(図1)。極めてシンプルだが、破壊力は絶大だ。Webアクセスをはじめ、多くのインターネットサービスは、アクセス先の指定にドメイン名を利用している。ドメイン名ハイジャックは、その根幹の登録情報を書き換えてしまう。
