MoinQ: DNS/ドメイン名/ハイジャック

1. ドメイン名/ハイジャック

ドメイン名のハイジャックとの言い方に違和感を覚える。
  ハイジャックの意味を調べてみたら、違うなという思いが強くなった。-- ToshinoriMaeno <<DateTime(2020-11-09T16:51:52+0900)>>

DNS/詐取 もご覧ください。DNS/ドメインなりすまし DNSスプーフィング

• DNS/abuse

cloudflare: https://community.cloudflare.com/t/community-tip-best-practices-to-address-dns-hijacking/58584

/JPRS2018

ドメイン名の乗っ取り（ハイジャック）とは？その手口や被害事例・対策 https://www.gmo.jp/security/brandsecurity/domain-hijacking/

lame delegation に付け込む乗取が抜け落ちているように思う。事例がないからか。

• cloudflare DNS 周辺、さくら周辺にはあったはずなのに。

DNS/乗取に詳しく解説する。

未解決の DNS エントリを防ぎ、サブドメインの乗っ取りを回避する 2023/02/14 https://learn.microsoft.com/ja-jp/azure/security/fundamentals/subdomain-takeover

DNSハイジャックとは？ https://webroot-jpblog.net/2022/03/01/236/

ドメイン名ハイジャックとは？被害事例と対策方法を徹底解説 公開日：2019.04.23　｜　最終更新日：2020.08.14 https://cybersecurity-jp.com/column/31073

もし、ドメイン名が他人にハイジャックされたら？　平成の記憶から学ぶ、その手口と対策 遠山 孝 2018年12月7日 14:35 https://internet.watch.impress.co.jp/docs/event/1157248.html

2. 2021

｢釣り｣タイトルの記事

全国初摘発「ドメイン名ハイジャック」　サイト乗っ取り金要求　京都府警、容疑で男２人逮捕 https://news.yahoo.co.jp/articles/79fa7525775da0410eedf057aa1e6be04ec9c9fb

https://twitter.com/SttyK/status/1369276982966460421?s=20

https://archive.vn/bM606

DNS/hijacking

/JPRS用語辞典 では、第二の項目にある

• 権威サーバー（権威DNSサーバー）に不正なデータを登録する

に含まれる。 レジストラサーバー上で、盗んだパスワードなどを利用して、登録を変更している。

3. 歴史的用例

JPNIC ドメイン名ハイジャックとは

https://www.nic.ad.jp/ja/basics/terms/dom-hijack.html

よくある手段としては、登録者のIDとパスワードを盗んだり、 
システムをクラックしたりするなどの手段により、 
レジストリ(登録管理組織)やレジストラ(登録事業者)などのデータベースにアクセスして、 
当該ドメイン名の登録者情報やネームサーバ情報を書き換えるというものが挙げられます。 

また、レジストラなどに対して虚偽の移転申請などを行い、 
当該ドメイン名を別のレジストラの管理下に移すという手法が使われることもあります。 

• これらのドメイン名盗用をハイジャックと呼ぶのは適切ではない。-- ToshinoriMaeno 2021-03-12 04:23:19

https://icannwiki.org/Domain_Name_Hijacking

重要なのはハイジャックかどうかということではない。DNSの悪用を防ぐことだ。

でも、ハイジャックという言い方は間違っている。 ハイジャックというのは銃やナイフをちらつかせて、相手の行動を制約するようなケースだと思っている。

強盗と窃盗の違いか。

4. lame delegation

lame delegationを利用(悪用)するものをハイジャックと呼ぶのは適切ではない。

• 言うなら、盗用(steel, theft, robbery)だろう。 stolen domain, domain theft

https://www.hostpapa.co.uk/blog/security/how-to-protect-yourself-from-domain-theft/

レジストラ上のアカウント情報を入手して登録NSを変更するようなのをハイジャックと呼ぼうと考えたが、 これもハイジャックではないような気がする。

レジストラによる｢真のドメインハイジャック｣は存在している。(ninja tools, zoho.com など)

｢不正移管によるドメイン名ハイジャック｣ は｢乗取｣ではあるが、ハイジャックには当たらない。

親子ドメインに関係するなりすまし: 乗取ではあるがハイジャックではない。 https://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html

https://twitter.com/ockeghem/status/1312321011065384960?s=20 コインチェックからみ

ドメイン名ハイジャックの事例として教科書に載せたいレベルだ。

https://twitter.com/xembook/status/1060182382337093632?s=20 NEM DNSは"ピアツーピアのネットワークで、ドメインレジストラ、ドメインゾーン所有者、中継キャッシュを持ちません"。 そのため、DNSレスポンスのハックが不可能とのこと。

5. 最近の用例

ハイジャックの用例からは程遠い内容なのに、なぜかハイジャックが使われている。 私も安易に使ってきたのを反省していて、wikiも書き改めている。-- ToshinoriMaeno 2020-10-26 00:24:42

放棄されたドメイン名を騙るものまでハイジャックと呼ぶのがおかしいことはすぐに分かるだろう。

• せいぜいsquat(不法占拠)だろう。多くは｢なりすまし(spoofing)｣だと思う。

https://twitter.com/piyokango/status/1268291161443033088?s=20

https://www.onamae.com/news/domain/20200603_1/

｢群盲象を評す｣状態なのだが、 lame delegationを利用して、ドメインを騙るものはDNS/なりすましだとして、 含めないことにする。

6. 間違い表現

https://cybersecurity-jp.com/column/31073

ドメイン名が第三者に乗っ取られてしまうことを、「ドメイン名ハイジャック」と言います。

/さくらでの対策(2012年)を見ると、さくらはlame delegationの危険性を認識していたことははっきりしている。

• さくら以外のサービスが危険であることも明らか。
  • なぜ、awsdnsが危険ではないと思ったのか。(サーバーの数に惑わされていたのかも)

    そんなはずはない。-- ToshinoriMaeno 2019-09-20 14:28:06

    2018年に再認識して、2019年に本格調査を始めた。-- ToshinoriMaeno 2019-09-20 14:29:44

DNS/hijacking　　/IPA　/JPRS DNS/乗取

ドメイン名ハイジャック•攻撃者にドメイン名がトランスファーされてしまい、管理権限を乗っ取られること。 https://dnsops.jp/event/20180627/%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%90%8D%E3%83%8F%E3%82%A4%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF%E3%81%95%E3%82%8C%E3%81%AA%E3%81%84%E3%81%9F%E3%82%81%E3%81%AB.pdf

7. なにか

JPRS用語辞典：　　https://jprs.jp/glossary/index.php?ID=0208

ドメイン名の管理権限を持たない第三者が、不正な手段でドメイン名を自身の支配下に置くことです。

• 「ドメイン名を自身の支配下に置くこと」とあるが、支配の意味が???

不正な手段とは?

e-ontap.com を正当に登録したときに、visa.co.jpを支配してしまったのは、ハイジャックなのだろうか。

• 不正な手段を用いたわけではないので、ノーということになろう。-- ToshinoriMaeno 2020-10-25 12:05:37

なにが不正かは、裁判所で決めることになるだろう。

DNS Abuseと、DNS運用者がすべきこと　　(2018年11月29日Internet Week2018 ランチセミナー)

• https://jprs.jp/tech/material/iw2018-lunch-L3-01.pdf

ドメイン名の管理権限を持たない第三者が、不正な手段で他者のドメイン名を自身の支配下に置く行為

なにが不正な手段か、支配下に置くとは、などが曖昧だ。

• 「まざまな不正行為= Abuse」とあって、ますます曖昧に。

-- ToshinoriMaeno 2019-04-20 22:58:04

「移管申請後10日間返答がなければ申請者のものとする」という汎用JPドメイン名登録申請等の取次に関する規則 第11条第2項

インターネットの根幹の仕組みに攻撃、本社も対象に 2014/11/5付 https://www.nikkei.com/article/DGXLASDZ05H3S_V01C14A1000000/

• 米国の管理会社などに不正アクセスしてアドレス情報を書き換えた疑い

8. 要件の見直

ここは、ドメイン名の正当な登録者ではないものがドメインを支配することを要件とすべきではないか。

• なりすましも含めて考えるのがよい。-- ToshinoriMaeno 2020-10-25 22:28:58

DNS/hijacking/JPRS2018

ドメイン名ハイジャックとは？被害事例と対策方法を徹底解説 2019.04.24

https://cybersecurity-jp.com/cyber-terrorism/31073#i

一部のNS(サーバー)を管理下におくだけでは不十分なように受け取れる。

• 特定のドメイン内の名前のAレコードの先のサーバーを管理できただけでは該当しない。

-- ToshinoriMaeno 2019-04-28 04:51:33

9. 手法による分類

JPRS辞典

代表的なドメイン名ハイジャックの方法には、以下のものがあります。

1. レジストリに登録されている情報を不正に書き換える
2. 権威サーバー（権威DNSサーバー）に不正なデータを登録する
3. フルサービスリゾルバー（キャッシュDNSサーバー）に不正なデータをキャッシュさせる

不正に書き換えることしか言及されていない。

• 設定のミスにつけこむことは考慮されていない。-- ToshinoriMaeno 2019-04-28 04:59:47

不正移管によるドメイン名ハイジャックについてまとめてみた https://piyolog.hatenadiary.jp/entry/2019/04/08/053000

レジストラによるハイジャックもある。 CenturyLink is blocking its customers' internet while saying Utah legislators told them to

https://www.richsnapp.com/blog/2018/12-13-centurylink-blocking-internet-in-utah

9.1. 登録情報の不正書き換え

https://www.jpcert.or.jp/at/2014/at140044.html

登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html

この攻撃手法ではレジストリに登録されたネームサーバー情報を書き換えることで
正規のサイトを直接攻撃することなく、攻撃者が準備した偽サイトに利用者のアクセスを誘導します。

とあるが、com. なので、レジストリとは限らない。

補足資料：登録情報の不正書き換えによるドメイン名ハイジャックとその対策について http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.pdf

この説明には同意しないが。/canon説明 https://eset-info.canon-its.jp/malware_info/term/detail/00075.html

ドメイン名ハイジャック(DNSハイジャック)とは： http://securityblog.jp/words/dns-hijacking.html

登録情報の不正書き換え不要のドメイン名ハイジャック

10. 攻撃手法

/登録情報に対する攻撃手法

登録情報に対する攻撃手法は、大きく以下の二つに分類されます。

    1）上記の各システムの脆弱性を突き、登録情報を書き換える
    2）上記の登録者、リセラー、レジストラ（指定事業者）になりすまし、登録情報を書き換える

http://itpro.nikkeibp.co.jp/atcl/column/14/346926/120200120/

残る危機？

「登録情報の不正書き換えによるドメイン名ハイジャック（ドメイン名乗っ取り）」

http://itpro.nikkeibp.co.jp/atcl/news/14/110501764/

/不正書き換え

11. 使用例

上の定義通りとは限らない。

DNS/用語/ハイジャック

http://internetcom.jp/busnews/20141106/hatena-announces-findings-of-domain-name-hijacking.html

http://canon-its.jp/eset/malware_info/term/ta/009.html

http://www.sophia-it.com/content/%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%82%B8%E3%83%A3%E3%83%83%E3%82%AF

https://ja.wikipedia.org/wiki/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%B9%E3%82%AF%E3%83%AF%E3%83%83%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0

http://blog.shinkaku.co.jp/archives/41776754.html

http://www.psi.jp/content/view/276/498/

http://blog.tokumaru.org/2013/06/linkedin-dns-hijacking.html

DNSハイジャックとは、ドメイン名を管理するネームサーバーを乗っ取られることですが、具体的には以下のような状況が考えられます。

http://blog.tokumaru.org/2012/06/sakura-dns-subdomain-hijacking.html さくらDNSにサブドメインハイジャックを許す脆弱性