ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-11-05

複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた

| 17:31 |  複数の国内サイトがドメイン名ハイジャックされた件をまとめてみたを含むブックマーク

2014年11月5日にJPCERT/CCJPRSドメインハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。

注意喚起・対策

タイムライン

日付出来事
9月第1週Volexityが日経で不正なサイトへの接続を確認。
10月9日VolexityがBlog記事を公開。
10月15日はてなはてなブックマークで生じた警告について調査を開始。
10月18日はてなはてなブックマークで生じた警告について公式発表。
10月20日JPCERT/CCはてなドメイン登録情報の変更に関する情報を寄せる。
11月5日JPCERT/CCJPRSドメインハイジャックに関する注意喚起を公開。
 日経が速報でドメインハイジャックの影響を受けたこととJPCERT/CCの注意喚起を報じる。
11月6日はてなが調査経過状況を報告。

2014年9月〜10月に発生したドメインハイジャック

  • ハイジャック時に閲覧していた場合:
    • 意図しないIPアドレスに誘導され、攻撃者が用意したサーバーに接続していた可能性がある
    • 誘導先の偽サイトから特定の利用者に対しマルウェアの注入を図る行為が実行された可能性がある
  • 不正書き換えの隠ぺい:
    • 1〜2日程度で元の登録情報に巻き戻しが行われていた
    • ネームサーバー情報全てではなく、一部のみ書き換えが行われた

ハイジャックされた、またはその疑惑のあるドメイン

(1) 日本経済新聞社

ハイジャック時に誘導された外部ドメイン
日経の関連リンク

(2) はてなブックマーク

  • 11月6日のはてなの経過報告では次の4点を確認済みとしている。

1. はてなサーバーに対する攻撃者の侵入はない

2. はてなレジストラの間の認証情報(アカウント)は悪用されていない

3. 権威DNSサーバーに対する攻撃ではない

4. はてなが契約するCDNサービスに対する攻撃ではない

http://bookmark.hatenastaff.com/entry/2014/11/06/101514
  • 「一連の調査結果」によりJPCERT/CCJPRSが注意喚起を発表したことが記載されている。
誘導された外部ドメイン
はてなブックマークの関連リンク

(3) オークファン

  • aucview.aucfan.com
誘導された外部ドメイン

Volexityにより確認された別事案の捕捉事例

別件(jdk-7u12-windows-i586.java-se.com)で動作コードを入手し、以下動作を確認したとのこと。

  • PlugXの接続先
    • jduhf873jdu7.blog.163.com

FireEyeが報告したOperation Poisoned Handoverとの関連性

sapporo-digital-photoclub[.]com

wakayamasatei[.]com

tommo[.]jp

mizma.co[.]jp

sp.you-maga[.]com

nitori-tour[.]com

ninekobe[.]com

shinzenho[.]jp

wizapply[.]com

www.credo-biz[.]com

http://www.fireeye.com/blog/technical/2014/11/operation-poisoned-handover-unveiling-ties-between-apt-activity-in-hong-kongs-pro-democracy-movement.html

java-se.com/java-sec.com List

更新履歴