注意喚起・対策

• JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起
• JPRS （緊急）登録情報の不正書き換えによるドメイン名ハイジャックとその対策について（2014年11月5日公開）
• JPRS (PDF) 補足資料：登録情報の不正書き換えによるドメイン名ハイジャックとその対策について
• JPNIC IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起

タイムライン

2014年9月〜10月に発生したドメイン名ハイジャック

• 対象：国内の組織が運用する複数の.comドメイン
• ハイジャックの目的：不明
• ハイジャックが行われた時期：2014年9月〜10月
• 登録情報の不正な書き換えが行われていた期間：数時間〜数日

• ハイジャック時に閲覧していた場合：
  • 意図しないIPアドレスに誘導され、攻撃者が用意したサーバーに接続していた可能性がある
  • 誘導先の偽サイトから特定の利用者に対しマルウェアの注入を図る行為が実行された可能性がある

• 不正書き換えの隠ぺい：
  • １〜２日程度で元の登録情報に巻き戻しが行われていた
  • ネームサーバー情報全てではなく、一部のみ書き換えが行われた

ハイジャックされた、またはその疑惑のあるドメイン名

(1) 日本経済新聞社

• parts.nikkei.com
  • /parts/SC/s_cDS.jsにjava-se.comへ接続するコードが追加されていた。

• 以下の2ドメインで読み込まれていた模様。
  • asia.nikkei.com (Nikkei Asian Review)
  • www.nikkei.com (日本経済新聞電子版)

(2) はてなブックマーク

• b.st-hatena.com
  • /js/bookmark_button.jsにjava-se.comへ接続するコードが追加されていた。

• 11月6日のはてなの経過報告では次の4点を確認済みとしている。

1. はてなのサーバーに対する攻撃者の侵入はない
2. はてなとレジストラの間の認証情報（アカウント）は悪用されていない
3. 権威DNSサーバーに対する攻撃ではない
4. はてなが契約するCDNサービスに対する攻撃ではない

http://bookmark.hatenastaff.com/entry/2014/11/06/101514

• 「一連の調査結果」によりJPCERT/CCとJPRSが注意喚起を発表したことが記載されている。

• 「st-hatena.com」のGoogle SafeBrowsingのレポートがいまだ「不審なコンテンツが最後に検出されたのは 2014-11-06 です」とあり、日経とは異なる結果であることからはてなの報告内容を疑問視する記事と、はてなアンテナのリダイレクト用ドメイン(a.st-hatena.com)がst-hatena.comのレポート内容と一致することからこれが原因ではないかと指摘する記事。
  • はてながDNSハイジャックのせいにして逃げるので追いこんでおくか
  • はてブにも書いたのだけど、一応増田にもメモしておく。

(3) オークファン

• aucview.aucfan.com

Volexityにより確認された別事案の捕捉事例

別件(jdk-7u12-windows-i586.java-se.com)で動作コードを入手し、以下動作を確認したとのこと。

• Javaアップデート(名前：jre-7u61-windows-x86-Update)を偽装したJavaアプレットが起動する。
• Javaアプレットの発行者欄は「WindySoft」と表示される。
• Javaアプレットを実行するとcss.jpgをダウンロードする。
• css.jpgの実態はXORされた実行可能ファイル。VTへの登録無し。
• 実行した結果、新型のPlugXに感染する。

• css.jpgのダウンロード元
  • elsa-jp.jp

• PlugXの接続先
  • jduhf873jdu7.blog.163.com

FireEyeが報告したOperation Poisoned Handoverとの関連性

• Operation Poisoned Handover: Unveiling Ties Between APT Activity in Hong Kong’s Pro-Democracy Movement
• FireEyeが11月3日(現地時間)に公開。
• 香港デモを受けて行われた可能性を示唆。
• C2サーバーのリストを見ると国内のドメインが悪用されていた模様。

sapporo-digital-photoclub[.]com
wakayamasatei[.]com
tommo[.]jp
mizma.co[.]jp
sp.you-maga[.]com
nitori-tour[.]com
ninekobe[.]com
shinzenho[.]jp
wizapply[.]com
www.credo-biz[.]com

http://www.fireeye.com/blog/technical/2014/11/operation-poisoned-handover-unveiling-ties-between-apt-activity-in-hong-kongs-pro-democracy-movement.html

• 日経の件でVolexityが報告していたサブドメインと同じ「jre76.java-se.com」について記述あり。但し、記事中にドメイン名ハイジャックに関連する言及はないため、このオペレーションとの関連は不明。

java-se.com/java-sec.com List

• Infrastructure from java-se[.]com and java-sec[.]com from PassiveTotal
  https://gist.github.com/9b/bef2907272cc770311c6

更新履歴

• 2014/11/05 新規作成
• 2014/11/06 タイムライン追加、はてなの経過状況を追加、FireEyeの記事を追加
• 2014/11/06 日経のドメイン名が誤っていたため修正(part.nikkei.com→parts.nikkei.com)
• 2014/11/07 オークファンを影響を受けていた可能性のあるドメインに追加