piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた

2014年11月5日にJPCERT/CCJPRSドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。

タイムライン

日付 出来事
9月第1週 Volexityが日経で不正なサイトへの接続を確認。
10月9日 VolexityがBlog記事を公開。
10月15日 はてなはてなブックマークで生じた警告について調査を開始。
10月18日 はてなはてなブックマークで生じた警告について公式発表。
10月20日 JPCERT/CCはてなドメイン登録情報の変更に関する情報を寄せる。
11月5日 JPCERT/CCJPRSドメイン名ハイジャックに関する注意喚起を公開。
  日経が速報でドメイン名ハイジャックの影響を受けたこととJPCERT/CCの注意喚起を報じる。
11月6日 はてなが調査経過状況を報告。

2014年9月〜10月に発生したドメイン名ハイジャック

  • 対象:国内の組織が運用する複数の.comドメイン
  • ハイジャックの目的:不明
  • ハイジャックが行われた時期:2014年9月〜10月
  • 登録情報の不正な書き換えが行われていた期間:数時間〜数日
  • ハイジャック時に閲覧していた場合:
    • 意図しないIPアドレスに誘導され、攻撃者が用意したサーバーに接続していた可能性がある
    • 誘導先の偽サイトから特定の利用者に対しマルウェアの注入を図る行為が実行された可能性がある
  • 不正書き換えの隠ぺい:
    • 1〜2日程度で元の登録情報に巻き戻しが行われていた
    • ネームサーバー情報全てではなく、一部のみ書き換えが行われた

ハイジャックされた、またはその疑惑のあるドメイン

(2) はてなブックマーク

  • 11月6日のはてなの経過報告では次の4点を確認済みとしている。

1. はてなのサーバーに対する攻撃者の侵入はない
2. はてなレジストラの間の認証情報(アカウント)は悪用されていない
3. 権威DNSサーバーに対する攻撃ではない
4. はてなが契約するCDNサービスに対する攻撃ではない

http://bookmark.hatenastaff.com/entry/2014/11/06/101514
  • 「一連の調査結果」によりJPCERT/CCJPRSが注意喚起を発表したことが記載されている。

(3) オークファン

  • aucview.aucfan.com

Volexityにより確認された別事案の捕捉事例

別件(jdk-7u12-windows-i586.java-se.com)で動作コードを入手し、以下動作を確認したとのこと。

  • css.jpgのダウンロード元
    • elsa-jp.jp
  • PlugXの接続先
    • jduhf873jdu7.blog.163.com

FireEyeが報告したOperation Poisoned Handoverとの関連性

sapporo-digital-photoclub[.]com
wakayamasatei[.]com
tommo[.]jp
mizma.co[.]jp
sp.you-maga[.]com
nitori-tour[.]com
ninekobe[.]com
shinzenho[.]jp
wizapply[.]com
www.credo-biz[.]com

http://www.fireeye.com/blog/technical/2014/11/operation-poisoned-handover-unveiling-ties-between-apt-activity-in-hong-kongs-pro-democracy-movement.html
  • 日経の件でVolexityが報告していたサブドメインと同じ「jre76.java-se.com」について記述あり。但し、記事中にドメイン名ハイジャックに関連する言及はないため、このオペレーションとの関連は不明。

java-se.com/java-sec.com List

更新履歴

  • 2014/11/05 新規作成
  • 2014/11/06 タイムライン追加、はてなの経過状況を追加、FireEyeの記事を追加
  • 2014/11/06 日経のドメイン名が誤っていたため修正(part.nikkei.com→parts.nikkei.com)
  • 2014/11/07 オークファンを影響を受けていた可能性のあるドメインに追加