2020年に仮想通貨取引所のドメイン情報が改ざんされ、メール情報が流出する事件がありました。
被害はそれほど大きくなく、流出した可能性があるメールは同社宛てにメールを送ったユーザー約200人分のメール情報だそうです。脆弱性は「ドメインポータルサイト」側にあり、同様の手口で他の仮想通貨取引所も被害を受けました 。
話題となったドメイン登録情報ですが、具体的にどのようなもので、何がどのように改ざんされたらメール情報が流出するのでしょうか。
不正アクセス事件で利用された「ホモグラフ攻撃」とは
今回のドメインハイジャックでは仮想通貨取引所のドメインネームサーバ(DNS)に似せた偽物のDNSを攻撃者が用意したことが予想されます。偽物と気付かれないよう、本物のドメイン名に酷似したドメインをわざわざ取得し、用意しておきます。
この本物に似せたDNSを用意し誘導する攻撃は"ホモグラフ攻撃"と呼ばれており、比較的メジャーな手法です*1。フィッシングメールなどでよく使われています。例えば、
正:google.com
偽:googIe.com ← 小文字l(エル)が大文字のI(アイ)になっている
正:yahoo.co.jp
偽:уahoo.co.jp ← 小文字y(ワイ)が、キリル文字のу(ウー)になっている。
等々、肉眼ではほぼ回避できません。むしろドメイン登録の時点で却下しておいて欲しい、とも思いますが、普通に通ってしまうものなのですね。
そうして攻撃者の用意した偽物の、ドライブバイダウンロード満載のサイトに誘導されたりします。
Segasec(Mimecast)で不正アクセス事件を起こさぬように予防が重要
そんな、「正規ドメインに酷似した偽装ドメイン」をwebクローリングによって発見、サイト閉鎖まで追い込むサポートをしてくれるイスラエル製品、「Segasec」というイスラエル製品を当社ではご紹介可能です。
現在は「Mimecast」というデータセキュリティベンダーに買収されましたが、機能は健在です。フィッシングによる被害が拡大する今、求められている機能ではないでしょうか。
サイト提供者必見です。
Mimecastの公式サイトを見る
