インターネットが私たちの生活に欠かせないものとなった現代、ウェブサイトの安全性は非常に重要です。しかし、サイバー攻撃の手法は日々進化しており、その中でも注意が必要なのが「ドメインハイジャック」です。この記事では、ドメインハイジャックの概要から仕組み、手口、そして対策まで詳しく解説していきます。

アクトのサイバーセキュリティサービス

ドメインハイジャックとは

ドメインハイジャックとは、悪意のある第三者が正規のドメイン名を不正に乗っ取る行為を指します。具体的には、ドメイン名の登録情報を書き換えたり、DNSサーバーの設定を変更したりすることで、正規のウェブサイトへのアクセスを妨害し、偽サイトへ誘導するなどの攻撃を行います。この攻撃は非常に危険で、以下のような深刻な被害をもたらす可能性があります。

  1. ウェブサイト運営者側の被害:
    • 信用低下
    • サービス妨害による収益減少
    • 顧客情報の流出
  2. ユーザー側の被害:
    • 個人情報の漏洩
    • マルウェア感染
    • フィッシング詐欺の被害
    • クレジットカードの不正利用
    • インターネットバンキングの不正送金

ドメインハイジャックが特に厄介なのは、ユーザーが偽サイトに誘導されていることに気づきにくい点です。URLは正規のものと変わらないため、多くのユーザーは通常通り企業サイトにアクセスしていると勘違いしてしまいます。

ドメインハイジャックの仕組み

ドメインハイジャックの仕組みを理解するには、まずドメイン名システムの基本的な構造を知る必要があります。
ドメイン名システムは主に以下の要素で構成されています。

  1. レジストリ:ドメイン名の登録情報を管理する組織
  2. レジストラ:ドメイン名の登録サービスを提供する事業者
  3. 権威DNSサーバー:ドメイン名とIPアドレスの対応関係を管理するサーバー
  4. キャッシュDNSサーバー:DNSの問い合わせ結果を一時的に保存するサーバー

ドメインハイジャックは、これらの要素のいずれかを攻撃することで行われます。具体的な流れは以下の通りです。

  1. 攻撃者がレジストリやレジストラに登録されたドメイン名を不正な方法でハイジャックします。
  2. 登録されたドメイン情報を不正に書き換えます。
  3. 権威DNSサーバーに不正なドメイン名情報が保存されます。
  4. キャッシュDNSサーバーに不正なドメイン名情報がキャッシュされます。
  5. ユーザーがウェブサイトにアクセスすると、偽サイトに誘導されるなどの被害が発生します

この一連の流れにより、正規のウェブサイトへのアクセスが妨害され、ユーザーは知らず知らずのうちに偽サイトへ誘導されてしまうのです。

ドメインハイジャックの手口

ドメインハイジャックの手口は多岐にわたりますが、主に以下の4つが挙げられます。

  1. 登録者になりすまして、レジストラのデータベースを書き換える
  2. レジストラのシステムの脆弱性をついて、データベースを書き換える
  3. レジストラになりすまして、レジストリのデータベースを書き換える
  4. レジストリのシステムの脆弱性をついて、データベースを書き換える

これらの手口は、主にフィッシング攻撃やソーシャルエンジニアリングなどの手法を用いて実行されます。例えば、ドメイン管理者になりすましてレジストラに連絡し、登録情報の変更を要求するといった方法が取られることがあります。また、レジストラやレジストリのシステムに脆弱性がある場合、それを悪用してデータベースに不正アクセスし、ドメイン情報を書き換えるという手口も存在します。さらに、近年では以下のような新たな手口も報告されています。

  • ドロップキャッチ:廃止された著名なドメインを第三者が取得し、そこで詐欺行為を働く手法
  • ドッペルゲンガードメイン:正規のドメインに酷似したドメインを取得し、ユーザーを騙す手法

これらの手口は、ドメイン管理者やユーザーの油断を突いて行われるため、常に警戒が必要です。

関連記事
ドッペルゲンガードメインとは?概要と実際に起きた事例を簡単に解説

ドメインハイジャックの対策

ドメインハイジャックの被害を防ぐためには、複数の対策を組み合わせて実施することが重要です。以下に、主要な対策方法を詳しく解説します。

セキュリティツールを導入する

まず、基本的な対策として、信頼できるセキュリティソフトウェアを導入することが挙げられます。これにより、マルウェアやフィッシング攻撃からシステムを保護し、ドメインハイジャックのリスクを軽減することができます。具体的には以下のようなツールの導入を検討しましょう。

  • アンチウイルスソフトウェア
  • ファイアウォール
  • スパム対策ソフトウェア
  • フィッシング対策ツール

これらのツールを常に最新の状態に保つことで、新たな脅威にも対応できます。

ドメイン名の適切な管理

ドメイン名の管理は、ドメインハイジャック対策の要となります。以下の点に注意して、適切な管理を行いましょう。

  1. 登録情報の定期的な確認:ドメインの登録情報(所有者、連絡先など)を定期的にチェックし、不正な変更がないか確認します。
  2. 強力なパスワードの使用:ドメイン管理アカウントには、複雑で推測されにくいパスワードを設定します。定期的なパスワード変更も効果的です。
  3. アクセス権限の適切な管理:ドメイン管理に関わる人員を最小限に抑え、必要最低限の権限のみを付与します。
  4. セキュアな通信の使用:ドメイン管理ページへのアクセスには、必ずHTTPS接続を使用します。
  5. 不要なドメインの廃止:使用していないドメインは適切に廃止し、ドロップキャッチの被害を防ぎます

DNSサーバーの設定を定期的に確認

DNSサーバーの設定は、ドメインハイジャックの標的となりやすい部分です。以下の対策を実施しましょう。

  1. DNSレコードの定期確認:DNSの設定(Aレコード、MXレコードなど)を定期的にチェックし、不正な変更がないか確認します。
  2. DNSSECの導入:DNSSECを導入することで、DNSの応答が改ざんされていないことを検証できます。
  3. セカンダリDNSサーバーの設定:複数のDNSサーバーを用意することで、一つのサーバーが攻撃を受けても、サービスの継続性を確保できます。
  4. DNSサーバーのセキュリティ強化:DNSサーバー自体のセキュリティも強化し、不正アクセスや改ざんを防ぎます。

多要素認証の導入

多要素認証(MFA)は、ドメイン管理アカウントのセキュリティを大幅に向上させる効果的な方法です。以下の点に注意して導入しましょう。

  1. 複数の認証要素の使用:パスワードに加えて、スマートフォンアプリや物理トークンなどの第二の認証要素を使用します。
  2. リカバリーオプションの設定:多要素認証のバックアップ方法(リカバリーコードなど)を安全に保管します。
  3. 定期的な見直し:使用している多要素認証の方式が最新のセキュリティ基準を満たしているか、定期的に確認します。
  4. 従業員教育:多要素認証の重要性と正しい使用方法について、関係者全員に教育を行います。

レジストリロックの設定

レジストリロック(またはドメインロック)は、ドメインの不正な移管や変更を防ぐ強力な対策です。以下の点に注意して設定しましょう。

  1. レジストラの確認:利用しているレジストラがレジストリロックサービスを提供しているか確認します。
  2. 適切な設定:レジストリロックを有効にし、解除には厳格な認証プロセスを設定します。
  3. 定期的な確認:レジストリロックの状態を定期的に確認し、不正に解除されていないか確認します。
  4. 緊急時の対応手順の準備:正当な理由でロックを解除する必要がある場合の手順を事前に決めておきます

これらの対策を総合的に実施することで、ドメインハイジャックのリスクを大幅に軽減することができます。ただし、サイバーセキュリティの脅威は常に進化しているため、最新の情報を常にキャッチアップし、必要に応じて対策を更新していくことが重要です。

アクトのサイバーセキュリティ対策支援

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。また、IT導入補助金を活用して導入することも可能です。
ご興味がございましたらお気軽にお問い合わせください。

Sentinelone