2020年6月2日にCoincheckはお名前.comの社有アカウントが不正アクセスを受けたと発表しました。またその翌日6月3日、GMOインターネットはお名前.comのサービス不具合を悪用した会員情報の改ざん被害が発生していると発表しました。この記事は公開時点(6/4 16時)では2社発表の関連を推測として記載していましたが、同被害を受けて4日に発表を行ったbitbankがこの2社の発表を取り上げ、同事象であると説明したことから一連の出来事として整理します。
登録アドレスを書き換えアカウント奪取
今回のドメイン名ハイジャックは大まかに次の手口だったとみられる。(お名前.comアカウントの不正アクセスの流れは一部推測)
- 攻撃者がお名前.com Naviの不具合(脆弱性)を悪用し、アカウント奪取後にドメイン登録情報(whois DB)を変更した。
- 手口として、会員情報の登録メールアドレスを自身のものに変更。その後変更したパスワードを用い、アカウントのパスワードを変更。
- 奪取したアカウントへ不正アクセスし、ネームサーバーの設定からDNSサーバーを攻撃者のものに変更し、ドメイン名ハイジャックが行われた。
coincheck.comで当時起きていたこと
- 過去に登録されたDNS情報を参照したところ、
coincheck.com
のNSレコードが5月31日頃に変更されていた。 - 登録された攻撃者のDNSサーバーは元々のAWSのDNSサーバーのホスト名に酷似したものが使用されていた。
- 同日MXレコードに
mail.coincheck.com
が登録されていた。同ホストから引けたIPアドレス45.77.24.250
に接続をして調査された方の報告によれば、実際にSMTPサーバーが稼働していた模様。Coincheck側がメールの対象件数を把握できているため、攻撃者のSMTPサーバーから同社の正規のメールサーバーに転送が行われていた可能性がある。
bitcoinbank.co.jpも影響
- 同様の変更がbitbankの
bitcoinbank.co.jp
で発生していた記録が残っている。MXレコードもCoincheck同様にmail.bitcoinbank.co.jp
が一時存在していた。 - 同手口による事例は複数発生しているようだとの投稿がある。GMOインターネットの発表には被害件数の表記はないが、6月5日時点で影響を受けた顧客は2社のみと取材に回答している。*1
ドメインレジストラに登録しているDNS情報が不正に書き換えられる件が複数起きているようです。手口は似ていて「https://t.co/18XK3RamrE」だった場合「https://t.co/pi6kAEE0En」と0が付いた劇似ドメインに書き換え。皆さん自社ドメインをWHOISしてDNSが正しいか確認してみて下さい。
— Sen UENO (@sen_u) 2020年6月3日
各社の発表、顧客資産への影響確認されず
6月4日時点で、関連する発表を行っている組織は以下の3社。
- GMOインターネット(お名前.com)
- Coincheck
- bitbank
サービス名指しのプレスリリース(Coincheck)
2日に第一報、4日に最終報告を公開。
corporate.coincheck.com
corporate.coincheck.com
tech.coincheck.blog
- Coincheckが利用していたドメイン管理サービス「お名前.com」の社有アカウントが同サービスの不具合を原因として不正アクセスを受けた。
- 不正アクセス後にドメイン登録情報変更から修正までの約2日間、Coincheck宛に届いた問合せメールの一部を不正取得できる状態となっていた。顧客資産への影響は確認されていない。
- 発端はCoincheckはレスポンス遅延を監視業務にて検知したことから。
- 不正取得可能期間に受け付けたメールは約300人。当初約200人としていたが、事象発生直前の問い合わせも影響を受けた可能性が否めないとして修正された。同社が影響人数を把握できた経緯は明らかにされていない。
- メールを通じ流出した可能性のある情報は問合せ元のメールアドレスとその内容。個人情報(①氏名、②登録住所、③生年月日、④電話番号、⑤IDセルフィー)が含まれている可能性がある。
- Coincheckは今回の事案発覚以降、緊急メンテナンスとして数回にわたり暗号資産送金の一時停止措置をとった。その後4日19時に送金サービスを再開。
- GMOインターネットがお名前.com上で提供するドメインプロテクションサービスをCoincheckは事後に設定を行っている。今回の登録メールアドレスが改ざんされたケースにおいても有効に機能したのかはGMOインターネット側の説明がなく不明。
- Coincheckは事後にドメイン管理サービス事業者の変更を行っている。発表上での記載はないが、Whois情報を見るに「Amazon Route 53」に変更した模様。
お名前.com Naviの「不具合」(GMOインターネット)
- 第三者が不具合を悪用し、顧客の管理画面に不正アクセスされ、一部情報が改ざんされる事態が発生した。
- 不正アクセス原因を調査した結果、お名前.com会員情報に登録されたメールアドレスを第三者が変更できる不具合が判明、これを悪用されていた。
- 不具合はお名前.com Naviで確認され6月2日時点で修正済み。詳細説明はなく、「当該お客様のIDと、「お名前.com Navi」における通信を改ざんできる不具合」とだけ説明が行われている。個人情報の閲覧は不具合単体では出来ない模様。
- 影響を受けたユーザーへは連絡し個別に説明を行っており、正規の情報に修正が行われている。
- 報道では脆弱性の悪用には事前にお名前IDを把握しておく必要がある。IDは一般に公開されている情報ではなく、攻撃者がどう把握したかは不明。
- 不具合の詳細は他で同様の手口の被害を防ぐことを理由として詳細を明らかにしていない。
「2社発表と同事象」と発表(bitbank)
- 影響を受けたドメイン名は取引所とは別であるため、顧客資産への実害は発生していない。
- 顧客サポート用メールアドレスに使用しているドメイン名も別であったことから個人情報の流出は発生していない。
- bitbankへの不正アクセスもGMO、Coincheck2社の発表を取り上げ、同事象であると発表。一連の発表が関連していることが確定した。
bitbank.co.jp
のドメイン名ハイジャックはcoincheck.com
より4日早いタイミングで発生していた。
時系列の整理
これらの時系列を整理すると以下の通り。
時系列 | 出来事 |
---|---|
2020年5月27日 1時55分頃 | bitbankのドメイン登録情報が何者かにより変更。 |
2020年5月29日 20時40分頃 | bitbankがお名前.comの社有アカウントを回復、ドメイン登録情報を修正。 |
同日 | CoincheckのNSレコードに一時登録された記録のあるドメイン3件の登録日。 |
2020年5月31日0時5分頃 | Coincheckのドメイン登録情報が何者かにより変更。 |
2020年6月1日 12時頃 | Coincheckが監視業務で異常を検知し調査を開始。 |
同日 19時36分頃 | CoincheckがGMOインターネットへ登録情報修正と対応協力を依頼。 |
同日 20時52分頃 | GMOインターネットがCoincheckのドメイン登録情報を修正。 |
同日 21時16分頃 | Coincheckが緊急メンテナンスとして暗号資産送金を停止すると発表。 |
同日 22時00分頃 | Coincheckが問合せメールの一部が不正取得される状態だったことを把握。 |
2020年6月2日 1時頃 | Coincheckが暗号資産の送金を再開したと発表。 |
同日 8時頃 | Coincheckが原因調査のためシステム点検を全システムに拡大。 |
同日 8時19分頃 | Coincheckが緊急メンテナンスとして暗号資産送金を停止すると発表。 |
同日 17時45分頃 | Coincheckが暗号資産の送金を再開したと発表。 |
同日 22時30分頃 | Coincheckがお名前.comの社有アカウントの不正アクセスを発表。 |
同日 22時52分頃 | CoincheckがGMOの調査進捗を受け暗号資産送金を停止すると発表。 |
同日 | GMOインターネットがお名前.com Naviの不具合を修正。 |
2020年6月3日 | GMOインターネットがお名前.com Naviの不具合を悪用した登録情報の改ざん事象の発生を発表。 |
同日 14時46分頃 | GMOインターネットよりCoincheckへ調査結果を報告。 |
同日 | GMOインターネットよりbitbankへ脆弱性が存在したとの報告。 |
2020年6月4日 | Coincheckがドメイン登録サービス事業者の変更完了。 |
同日 17時頃 | bitbankがお名前.comの社有アカウントの不正アクセスを発表。 |
同日 19時頃 | Coincheckが暗号資産送金サービスを再開したと発表。 |
同日 | Coincheckがお名前.comの社有アカウントの不正アクセスの最終報告を発表。 |
一時MXに登録されていたホスト、IPアドレス
45.77.24[.]250(mail.coincheck[.]com) 202.182.115[.]48(mail.bitcoinbank[.]co[.]jp)
関連が確認されたDNSサーバー
ns-650.awsdns-017[.]net ns-934.awsdns-052[.]net ns-1335.awsdns-038[.]org ns-1515.awsdns-061[.]org ns-1718.awsdns-022[.]co[.]uk ns-1985.awsdns-056[.]co[.]uk
更新履歴
- 2020年6月4日 PM 新規作成
- 2020年6月4日 PM bitbankの発表を反映、記事タイトルを変更
- 2020年6月5日 PM Coincheckの最終報告を反映
- 2020年6月5日 PM bitbankのドメインに誤記があったため修正
- 2020年6月7日 AM Security NEXTの取材記事を追記
- 2020年6月24日 PM Coincheckのブログ記事を追加
*1:「お名前.com」管理ツールに脆弱性、顧客2件で不正アクセス,Security NEXT,2020年6月5日