ccTLDのドメインハイジャック、今度はトルクメニスタンで発生

(1/28, 2/6 追記あり)
一昨日、トルクメニスタンの ccTLDレジストリである nic.tmにおいて、DNS情報が不正に書き換えられるドメインハイジャックが発生しました。被害にあったのは以下のドメイン。

www.youtube.tm
www.msdn.tm
www.intel.tm
www.yahoo.tm
www.cisco.tm
www.ford.tm

zone-hのアーカイブで確認できますが、これらのドメインはすべて同一のIPアドレスにむけられてしまったようです。

イランのハッカーがブログで詳細を述べていますが、特に政治的な意図などはないようで、単にサイトに脆弱性があったことを示すためにやったようです。彼らのブログによると、www.nic.tmのドメイン管理画面に SQLインジェクションの脆弱性があり、DBに保存されていたアカウント情報がすべて取得できてしまいました*1。そしてそこにはドメイン管理者のメールアドレスと平文パスワードが 5万件以上含まれていました*2。彼らはそのなかからいくつかピックアップして書き換えてみせたというわけです。

(脆弱性のあった管理画面)
f:id:ukky3:20130127225705p:plain


このように、レジストリレジストラにおいて DNSのレコードを書き換えることができてしまうと、一度に多数のドメインを乗っ取ることができます。そのため攻撃者に狙われることも多く、昨年末には今回のように ccTLDが攻撃される事件が相次いで起こっています。

2012年10月 アイルランド

アイルランド (.ie)のレジストリ IEDRが Joomla!の脆弱性を利用して侵入され、google.ieや yahoo.ieなどのドメインがハイジャックされました。IEDRのレポートがコチラ(PDF)にあります。インドネシアのハッカー Hmei7によるものです。
f:id:ukky3:20130127230218p:plain

2012年11月 パキスタン

パキスタン (.pk)のレジストリ PKNICが侵入され、google.pkや yahoo.pkなどのドメインがハイジャックされました。PKNICのレポートがコチラにあります。トルコのハッカーグループ Ebozによるものです。
f:id:ukky3:20130127231233p:plain

2012年11月 ルーマニア

ルーマニア (.ro)のレジストリ RoTLDが侵入され、google.roや yahoo.roなどのドメインがハイジャックされました。RoTLDからの声明がコチラ(ただしルーマニア語w)にあります。アルジェリアのハッカー MCA-CRBによるものです。
f:id:ukky3:20130127230649p:plain

2012年12月 セルビア

セルビア (.rs)で ccTLDを扱うレジストラ NiNetが(おそらく) cPanelの脆弱性を利用して侵入され、google.rsや youtube.rsなどのドメインがハイジャックされました。NiNetからの声明がコチラにあります。パキスタンのハッカーグループ Pakistan Zindabadによるものです。
f:id:ukky3:20130127230712p:plain


こうしてみるとセキュリティの甘いレジストリレジストラは結構あるんですね。うーむ。


(1/28 追記)
同じイランのハッカーがスリランカの ccTLDレジストリである nic.lkのサイトにも SQLインジェクションの脆弱性があることを指摘しています。また1万件弱のアカウント情報(名前とメールアドレス)も公開しているようです。


(2/6 追記)
PKNICが再び侵入され、多数のドメインが一時的にハイジャックされました。今回はパキスタンのハッカーグループ PAKbugsによるものです。
Pakistan Domain Registrar PKNIC Hacked - Hacking News

*1:彼らの Twitterアカウントによると、さらに別の NICにも脆弱性を見つけてデータを取得したと言っています。1/28の追記を参照のこと。

*2:この中には JPドメインのメールアドレスも1,000件以上含まれています。