(1/28, 2/6 追記あり)
一昨日、トルクメニスタンの ccTLDレジストリである nic.tmにおいて、DNS情報が不正に書き換えられるドメインハイジャックが発生しました。被害にあったのは以下のドメイン。
www.youtube.tm www.msdn.tm www.intel.tm www.yahoo.tm www.cisco.tm www.ford.tm
zone-hのアーカイブで確認できますが、これらのドメインはすべて同一のIPアドレスにむけられてしまったようです。
イランのハッカーがブログで詳細を述べていますが、特に政治的な意図などはないようで、単にサイトに脆弱性があったことを示すためにやったようです。彼らのブログによると、www.nic.tmのドメイン管理画面に SQLインジェクションの脆弱性があり、DBに保存されていたアカウント情報がすべて取得できてしまいました*1。そしてそこにはドメイン管理者のメールアドレスと平文パスワードが 5万件以上含まれていました*2。彼らはそのなかからいくつかピックアップして書き換えてみせたというわけです。
(脆弱性のあった管理画面)
このように、レジストリやレジストラにおいて DNSのレコードを書き換えることができてしまうと、一度に多数のドメインを乗っ取ることができます。そのため攻撃者に狙われることも多く、昨年末には今回のように ccTLDが攻撃される事件が相次いで起こっています。
2012年10月 アイルランド
アイルランド (.ie)のレジストリ IEDRが Joomla!の脆弱性を利用して侵入され、google.ieや yahoo.ieなどのドメインがハイジャックされました。IEDRのレポートがコチラ(PDF)にあります。インドネシアのハッカー Hmei7によるものです。
2012年11月 パキスタン
パキスタン (.pk)のレジストリ PKNICが侵入され、google.pkや yahoo.pkなどのドメインがハイジャックされました。PKNICのレポートがコチラにあります。トルコのハッカーグループ Ebozによるものです。
2012年11月 ルーマニア
ルーマニア (.ro)のレジストリ RoTLDが侵入され、google.roや yahoo.roなどのドメインがハイジャックされました。RoTLDからの声明がコチラ(ただしルーマニア語w)にあります。アルジェリアのハッカー MCA-CRBによるものです。
2012年12月 セルビア
セルビア (.rs)で ccTLDを扱うレジストラ NiNetが(おそらく) cPanelの脆弱性を利用して侵入され、google.rsや youtube.rsなどのドメインがハイジャックされました。NiNetからの声明がコチラにあります。パキスタンのハッカーグループ Pakistan Zindabadによるものです。
こうしてみるとセキュリティの甘いレジストリやレジストラは結構あるんですね。うーむ。
(1/28 追記)
同じイランのハッカーがスリランカの ccTLDレジストリである nic.lkのサイトにも SQLインジェクションの脆弱性があることを指摘しています。また1万件弱のアカウント情報(名前とメールアドレス)も公開しているようです。
(2/6 追記)
PKNICが再び侵入され、多数のドメインが一時的にハイジャックされました。今回はパキスタンのハッカーグループ PAKbugsによるものです。
Pakistan Domain Registrar PKNIC Hacked - Hacking News