piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

レジストラ管理画面への不正ログイン起因とみられるドメイン名ハイジャックについてまとめてみた

2024年6月3日、夢展望は子会社であるトレセンテの公式サイトで使用しているドメイン名の移管処理が何者かによって行われ、ドメイン名が乗っ取られた可能性が高いと公表しました。ここでは関連する情報をまとめます。

レジストラ提供の管理画面に不正アクセスか

  • 被害にあったのはトレセンテが公式サイトで使用をしていたドメイン名trecenti.com。第三者が海外のドメイン管理会社へこのドメイン名の移管処理を行ったことで、同社の公式サイトに接続できない状況が生じた。
  • 同社公式サイトでは、来店予約の際に顧客情報*1の取得をしているが、データは別サーバーで管理しているため、同社の顧客情報の流出は確認されていない。また同社が運営するECサイトも別のドメイン名(trecenti.net)で運営しているため、こちらにも影響はないとしている。
  • 同社が被害に気付いたのは問題の移管処理から2日後の31日9時15分頃で、同社の公式サイトが閲覧できない状態となったことから調査を行い、その後何者かによるドメイン名の乗っ取りが行われた可能性が高いと判断した。ドメイン管理会社やサーバー管理会社への状況確認と警察・弁護士に相談の上、各管理会社へ情報開示請求の準備を始めた。
  • 何者かによって移管処理が勝手に行われた原因について、夢展望社はドメイン管理会社の管理画面に不正ログインされた可能性があると見ており、管理画面ログインに使用するID、パスワードについても今回の不正アクセスの影響を受けた対象としている。このドメイン管理会社について同社は明らかにしていないが、GMOインターネットグループのお名前.comと報じられており*2、過去のWhois情報でも当該レジストラの情報が確認できる。お名前.comでは管理画面へのログインに二段階認証の設定が可能だが、今回同社がこれを有効にしていたのかは不明。
  • 乗っ取られたドメイン名trecenti.comについて、夢展望社は交渉が困難な海外のドメイン管理会社に移管されたことを理由に、取り戻せない可能性が高いとして別のドメインを取得した上で公式サイトを再開させる方針。夢展望社は当該ドメイン名が海外の管理会社を転々としていると説明しており、2024年6月4日時点でレジストラはPublicDomainRegistry。ドメイン名のステータスは「clientTransferProhibited」となっている。
trecenti.comのWHOIS検索結果(ValueDomainの検索サービスより)

更新履歴

  • 2024年6月4日 PM 新規作成

*1:同社では新郎・新婦氏名、住所、電話番号、メールアドレス、生年月日、指のサイズ、新居住所、入籍日、挙式日等を取得していると説明している。

*2:ジュエリー販売のトレセンテが「ドメイン乗っ取り」被害、公式サイトが閲覧不可に,日経クロステック,2024年6月3日