JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月25日、「フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、2023年7月上旬に日本国内で利用されていたドメインが不正に移管されるドメインハイジャックの事例を確認したとして、注意を喚起した。
JPCERT/CCによると、ドメインハイジャックは次のような手順で攻撃が行われたとされる。
- 攻撃者はドメインレジストラを装う偽の広告を検索サイトに登録
- ドメイン管理担当者は偽の広告からフィッシングサイトにアクセスし、認証情報を入力(この際、ドメイン管理担当者は正規のドメインレジストラのWebサイトへリダイレクトされたため被害に気が付つかない)
- 攻撃者は窃取した認証情報でドメインの管理画面に不正アクセスし、登録メールアドレスの変更とドメイン移管ロックの解除を行う
- 攻撃者はドメインの移管手続きを行い、ドメインをハイジャックする
JPCERT/CCは、このような攻撃からドメインを保護するため、次のような対策を推奨している。
- 検索サイトの検索結果を信用せず、確認済みの公式アプリやブックマークに登録したURLからアクセスする
- 公式サイトが提供する多要素認証(MFA: Multi-Factor Authentication)などのセキュリティ機能を活用する(セキュリティ機能は状況に応じて変更される可能性があるため、定期的に提供されるサービスを確認することが望まれる)
- アカウントには一意で強力なパスワードを使用する
上記に加えて認証情報を入力する際は、アクセスしているサイトのURLが正規のサイトか確認することが推奨される。近年は国際化ドメイン名を悪用し、正規のURLとほぼ同一のURLを使用することがあるため慎重な確認が必要。
JPCERT/CCは、ドメインハイジャックの被害を受けた場合、ドメイン管理で利用していたドメインレジストラに相談するよう呼びかけている(参考:「Registrar Transfer Dispute Resolution Policy - ICANN」)。この件のようにドメインを不正に移管されると、返還にかかる時間や費用、返還までの間に悪用され顧客に与える損害、返還されない可能性など多くの問題の発生が予想される。ドメイン管理を行う担当者には、このような被害に遭わないよう、上記のようなセキュリティ対策の実践が望まれている。