2024 年 02 月 02 日
ドメイン名ハイジャックによるドメイン名の乗っ取りに注意
~ フィッシング詐欺による認証情報の窃取とドメインの乗っ取り ~
フィッシング詐欺とドメインのなりすまし
これまでもフィッシング詐欺に関する BLOG を公開しており、直近では QR フィッシング について解説していますように、実在する企業・組織名をかたるフィッシング詐欺が増加しています。フィッシング対策協議会が 2024 年 1 月 15 日に公開した 2023/12 フィッシング報告状況 では、2023 年 10 月に比べて報告件数は減少しているものの、「調査用メールアドレス宛に 12 月に届いたフィッシングメールのうち、約 50.2 % が実在するサービスのメールアドレス ( ドメイン ) を使用した「なりすまし」フィッシングメールであり、11 月よりも増加傾向となりました。」とレポートしています。また、フィッシング対策協議会は、フィッシング以外では、ドメイン登録期限切れ後に元のドメイン登録者ではない第三者が登録し、不審な EC サイトやドメイン失効前に運用していたウェブサイトのコピーサイト(偽サイト)が立てられたなどの報告を受領したとレポートしています。
(出典)フィッシング対策協議会「2023/12 フィッシング報告状況 」
ドメイン名ハイジャックとは?
2023 年 7 月に、日本国内で利用させていたドメインが不正に別のドメイン登録事業者(レジストラー)に移管されるドメイン名ハイジャックの事例について、JPCERT コーディネーションセンター(JPCERT/CC) が公開しています。
攻撃者は、事前に検索サイトの広告でレジストラーのフィッシング詐欺サイトが表示されるようにしており、そのフィッシング詐欺サイトにアクセスしたドメイン管理担当者が、ID/パスワード(認証情報)を入力すると、攻撃者に認証情報が搾取されてしまいます。その後、搾取した認証情報を用いて正規サイトにログインし、別のレジストラーにドメインを移管する手続きが行われ、連絡先メールアドレスも攻撃者によって変更されています。
(出典)JPCERT コーディネーションセンター(JPCERT/CC)
ドメイン名の適切な管理と対策
ウェブサイトを運営、運用する企業・組織は、登録しているドメイン名を適切に管理する必要があります。フィッシング対策協議会が公開する「 フィッシング対策ガイドライン 」では、ドメイン管理にあたりドメイン名の管理を行う部門・担当者は、「組織内の複数の部門からそれぞれの利用目的のために勝手に複数のドメイン名管理サービスが利用されるような状況であると、自社で登録しているドメイン名の全容把握ができず、セキュリティ配慮に欠けた運用がなされたり、管理が放置されたりするドメイン名が発生するリスクが高くなる。このような事態を避けるため、あらかじめドメイン名管理を行う部門・担当者を定めておく必要がある。」と注意しています。また、ドメイン名の登録に関する留意事項として、登録中のドメイン名が悪意ある第三者からドメイン名の乗っ取りを防ぐための対策を講じる必要性があるとしています。
事前の対策として JPCERT/CC は、以下の対応を推奨しています。
- 検索サイトで表示されたリンクが正しいものと断定せず、確認済みの公式アプリや、ウェブブラウザーにブックマークしていた URL からアクセスする
- ウェブサイトの提供するセキュリティ機能(二段階認証など)を活用する
- 簡単なパスワードや、同じパスワードの使いまわしを避ける
このような ID/パスワードを不正に入力させるようなフィッシング詐欺には、上記のような対応だけでは防げないケースもあります。 多要素認証を回避するフィッシング攻撃 について解説していますように、SMS や認証アプリなどの認証方法を回避する攻撃も存在しますので、証明書ベースの認証が有効です。
サイバートラストでは、「 サイバートラスト デバイス ID」を提供しており、「証明書ベースの認証」を実現可能なクライアント証明書であり、多様なベンダーやサービスをサポートしています。
なお、「サイバートラスト デバイス ID」では、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット をご提供しております。「使用感を実際に体験してみたい」、「既存の環境で運用できるか検証したい」などのご要望に、是非ともトライアルを通じてサイバートラスト デバイス ID をお試しください。
