ドメイン名ハイジャックのリスクに対抗する方法の原因と結果を分析する

今年1月23日の夕方、ハッカー集団UGNaziが高級ブランドCoachのウェブサイトをハッキングした。ドメインがハイジャックされた数時間の間に、Coach.com でグッチの新しいウィリス ハンドバッグを購入しようとしていたユーザーや、Coachfactory.com でペネロペ ショルダーバッグを購入しようとしていたユーザーは、UGNazi の Web サイトにリダイレクトされた。この事件は購入者にとって本当にイライラするものでした。

コーチにとって幸運だったのは、ハッカーたちが商業的な恐喝ではなく政治的な動機で行動していたことだ。 UGNaziがコーチを選んだのは、その製品が広く模倣されている高級品会社が、物議を醸しているSOPA（オンライン知的財産権阻止法）を支持していたからだ。もしUGNaziがCoachとその顧客をさらに脅かしたいのであれば、Coach.comに送られた電子メールを制御したり、顧客を直接フィッシングサイトに誘導したりすることもできたはずだ。 「私たちはユーザーのデータを盗もうとしているのではなく、SOPA、PIPA、ACTAがインターネットに与えた害悪に対する認識を高めたいだけだ」とUGNaziはウェブサイトで述べた。

コーチの広報担当者はCIO.comに対し、ドメインハイジャックは同社の事業にほとんど影響を及ぼさなかったと語った。ドメイン名が乗っ取られた他の企業は、それほど幸運ではないかもしれません。たとえば、2008 年にハッカーが CheckFree.com を攻撃したとき、ハッカーは Web ページをウクライナの Web サイトにリダイレクトし、CheckFree ユーザーのコンピューターにマルウェアをダウンロードしました (当時のマルウェアはユーザー名とパスワードを盗むように設計されていました)。 CheckFree ユーザーだけが脆弱なわけではありません。米国のセキュリティ企業インターネット・アイデンティティの最高経営責任者（CEO）、ラース・ハーベイ氏は、オンライン分割払いサービスを提供するためにチェックフリーと提携している一部の小規模銀行の顧客も、ウェブサイトがチェックフリー・ドットコムにリンクされているため影響を受けたと述べた。

ドメイン名のハイジャックは、企業の機密情報に脅威を与えるため、深刻です。ドメイン登録業者アフィリアスの最高技術責任者ラム・モハン氏は、ハッカーらは同社が受信したすべての電子メールにアクセスでき、認証情報が共有され、被害が発生する可能性があったと述べた。

モハン氏は、会社側が気付かないうちに5か月間ドメインがハッキングされていた企業を1社知っていると語った。ハッカーが用心深すぎたため、ドメインが完全に乗っ取られるまで、ハッカーは気づきませんでした。ハッカーは、ユーザーを別のウェブサイトにリダイレクトするのではなく、用意したドメイン名にユーザーを送り、すべてのトラフィックを監視していました。この期間中、同社のウェブサイトと電子メールのすべてのデータは、ハッカーが設置したサーバー群を経由してルーティングされました。モハン氏は、被害があまりにも隠蔽されていたため、被害が深刻であると述べた。

ドメインハイジャック：増大する脅威

ハーベイ氏とモハン氏は、ドメインハイジャックが増加している理由として、その破壊力が極めて大きいこと、多くの企業がオンラインストアを運営していること、そしてドメインハイジャックが簡単に実行できることを挙げた。

「犯罪者は、ドメインハイジャックが他の攻撃方法よりもはるかに価値があることに気づいた」とモハン氏は語った。 「ハッカーは今や、オンラインで効果的に個人情報を盗むことができる。すでに企業のオンラインIDにアクセスでき、企業のブランドを乗っ取ることも可能だ。」

モハン氏は、自社では2005年以降、ドメインハイジャック事件の件数が3倍に増加していると付け加えた。実際、ドメイン名ハイジャックの増加率はドメイン名の増加率を上回っています。 2005 年、インターネット上のドメイン名は 10 億未満でした。 2011年末までにドメイン名の数は22億を超えました。

ハーベイ氏は、多くの企業が自社のドメイン名を保護できないという事実を真剣に受け止めていないと述べた。彼は、ドメイン名の登録がセキュリティ部門ではなく企業法務部門によって処理された結果である可能性があると推測しました。

モハン氏は、IT 部門の担当者がドメイン名を購入する際、追加料金を支払いたくない、あるいは保護が必要であることを認識していないという理由で、プロバイダーが提供するはずの保護をキャンセルする可能性があると述べた。

「企業はドメイン名を、危険にさらされる可能性のある貴重な資産として考えるべきだ」とハーベイ氏は語った。

ドメイン名登録者の中には、形式的に手続きを進める人もいる

ハッカーがドメインを攻撃するために使用できる手法は多数あります。これを行う 1 つの方法は、会社のドメイン レジストラを利用することです。モハン氏は、レジストラのセキュリティ対策が不十分だと、無効なパスワードが複数回入力される可能性があり、管理者を知っているハッカーがユーザー名とパスワードを使用してシステムに複数回侵入できると述べた。

「ユーザー名とパスワードで保護されたデータは安全ではない」とハーベイ氏は付け加えた。 「ハッカーはフィッシングメールを使ってユーザー名とパスワードをソーシャルエンジニアリングすることができます。ハッカーはComcastでこれを試みました。」

ハッカーは、古くからある「パスワードを忘れた場合」のトリックを試すこともできます。パスワードを入手するために、パスワードを忘れた登録ユーザーになりすます可能性があります。レジストラのウェブページにある「パスワードを忘れた場合」のリンクをクリックし、レジストラがパスワードまたはパスワードのリセット手順を受け取るために電子メールアドレスを入力することを許可している場合、ハッカーは簡単にドメインを制御できます。

3 番目の方法は、サーバー上の既知のセキュリティの脆弱性を悪用することです。モハン氏によると、つい最近、技術部門が最新のMySQLパッチのアップグレードを忘れたために、Afiliasの顧客のウェブサイトがハッキングされたという。ハッカーはドメインのユーザー名とパスワードを入手し、顧客の MySQL データベースの脆弱性を悪用して Web サイト全体にアクセスすることができました。

ドメイン名を保護する4つの方法

ハーベイ氏は、すべての企業が保護対策を講じれば、ドメイン名が簡単にハイジャックされることはなくなるだろうと述べた。幸いなことに、IT 管理者はいくつかの簡単な手順を実行することで、会社のドメインが乗っ取られるのを防ぐことができます。

1. エンタープライズレベルのドメイン名登録を選択する

一部のドメイン名会社は、消費者や中小企業をターゲットにしています。その結果、エンタープライズ レベルのドメイン レジストラが提供できるセキュリティ保護を企業に提供できなくなります。

「企業は、最も低コストのベンダー、あるいは特別なサービスを提供するベンダーを選択することが多い」とモハン氏は言う。 「費用はたった 20 ドルかもしれませんが、ドメインが乗っ取られた場合、損失はそれ以上に大きくなります。」

ハーベイ氏はさらにこう付け加えた。「ウェブサイトで何百万ドルもの取引が行われる場合、適切なレベルのセキュリティを選択する必要があります。」

彼は、Coach.com はドメイン名登録業者およびホスティング プロバイダーの Network Solutions によって管理されており、同社の Web サイトから判断すると、同社のサービス対象は主に中小企業であると述べました。

ドメイン レジストラを選択する際に注意すべき特別なセキュリティ対策があります。

2 要素認証またはコールバック認証。ハーベイ氏は、ドメイン登録業者が高度な検証方法を導入していれば、自社が経験したハイジャックのほとんどは防ぐことができたと述べた。

ドメインに複数のロックダウン機能を導入します。ハーベイ氏は、登録ロックとレジストラ ロックの両方がオンになっていることを確認するように言っています。モハン氏は、企業は独自の実際のドメイン名を固定できると述べた。一部のレジストラは、ドメインのハイジャックを防ぐためにロックも提供しています。

一部のレジストラでは、無効なパスワードを 3 回入力するとどの電子メール アドレスにもログイン資格情報が送信されないなど、パスワードの入力が完了すると自動的にユーザーをロックアウトします。

2. セキュリティパッチを適時に更新する

ハッカーが既知のソフトウェアの脆弱性を悪用できないように、Web サーバーが最新のセキュリティ パッチを使用していることを確認してください。そうでなければ、トラブルを招くことになります。ドメイン名が乗っ取られるのは時間の問題だからです。これは、Mohan の顧客が最新の MySQL パッチを適用しなかったことから学んだ教訓です。

3. ウェブサイトのトラフィックがどこに行くかを監視する

CheckFree が経験したように、ウェブサイトのトラフィックが不思議なことにウクライナのサーバーに送信されている場合は、サイトに何らかの問題がある可能性があります。

4. レジストラにDNS SECをリクエストする

モハン氏は、DNSSEC（ドメイン名システムにセキュリティ拡張機能を追加する）はドメイン名の乗っ取りを防ぐことはできないが、ユーザーがウェブサイト上のリンクをクリックした後、ウェブリンクをクリックしてからページに移動するまでの間に乗っ取られないことが唯一保証されると述べた。

元のタイトル: ドメイン名ハイジャックのリスクに対抗する方法の原因と結果を分析する

キーワード: 分析、抵抗方法、ドメイン名、ハイジャック、リスク、原因、影響、今年、1 月、ウェブマスター、ウェブサイト、ウェブサイトのプロモーション、収益化