全国初摘発「ドメイン名ハイジャック」サイト乗っ取り金要求 京都府警(京都新聞)の私の考察

ホワイトハッカーの知識DNS,ドメイン名ハイジャック,フィッシングサイト

ドメイン名ハイジャックを使ったサイト乗っ取り金要求がありました。

インターネット上の住所に当たる「ドメイン名」を乗っ取り、サイト運営者に元に戻すための身代金を要求したとして、京都府警サイバー犯罪対策課と南署は9日、恐喝未遂の疑いで、滋賀県草津市の自称ITコンサルタントの男(42)と東京都港区の会社員の男(26)を逮捕した。

 捜査関係者の説明では、男らはサイトのドメイン名を管理する会社のシステムに侵入。ドメイン名の接続先を不正に書き換えて、男性のサイトを閲覧しようとすると、男らが用意した偽サイトに誘導するようにした。偽サイトには「このドメインは預かっている」として仮想通貨を支払うよう求める脅迫文を掲載していたという。
京都新聞 2021/03/09

ドメイン名ハイジャックとは

ドメイン名ハイジャックとは名前の通り「ドメインを乗っ取る」ということです。

乗っ取られると正規のURLでホームページをアクセスしているのに

  • 一見するとわからないが巧妙につくられた偽物のホームページが表示される。
    ⇒ウソの商品を買わされて個人情報(クレジットカード情報など)が盗まれる。(フィッシングサイト)
  • ドメインを身代わりに金品を要求するホームページが表示される。
  • 乗っ取られたドメイン宛てのメールがハッカーに読まれる。

このような犯罪が起きます。

今回のドメインのハイジャック方法について推測してみました

ドメインとは

皆さんはインターネットでサイトを探すときに、通常はGoogleやYahooで検索して検索結果から選んでホームページを表示していますよね。

たとえば、Googleで「首相官邸」で調べると

が表示されます。そして「首相官邸ホームページ」をクリックすると

と表示されました。
ブラウザの上部のアドレス欄を参照すると

「kantei.go.jp」これがドメイン名です。
このドメイン名は私たちが認識できる名前です。
しかし、コンピュータには理解不可能なのですね。

コンピュータが理解できるドメイン情報(IPアドレス)は
「11001010.11010110.11011000.00001010」(2進数)
私たちに理解できるよう10進数に変換すると
「202.214.216.10」になります。

ちなみに「202.214.216.10」をブラウザのアドレスに入れると

ほらIPアドレスでも「首相官邸」のホームページが表示されました。

[word_balloon id="1″ size="M" position="L" name_position="under_avatar" radius="true" balloon="talk" balloon_shadow="true"]ドメイン名とIPアドレスは切っても切れない関係なのです。[/word_balloon]

【ちょっと詳しく説明】
コンピューターは「0」と「1」しか認識できません。これを2進数といいます。
※実際には電流が「通る」か「通らない」かなんですが・・・

そこでコンピュータが認識できるドメイン名のことを「IPアドレス」といい2進数で表現します。
8バイトのデータ4組からなり

「00000000.00000000.00000000.00000000」(最小)から
「11111111.11111111.11111111.11111111」(最大)までで表現します。

2進数から10進数変換表

2進数 10進数
00000000 0
00000001 1
00000010 2
00000011 3
00000100 4
11111101 253
11111110 254
11111111 255

上記変換表より10進数でIPアドレスを表現すると

「0.0.0.0」から「255.255.255.255」
になります。

ドメインはドメインネームシステム(DNS)サーバで管理されています。

ドメインネームシステム(DNS)サーバはインターネットの「電話帳」です。

電話帳を思い出してください。
電話帳には「名前」と「電話番号」が記載されています。
まず、名前を調べて電話番号を見つけます。
(※最近の人に「電話帳」って言ってわかるかな?(^^;)

ドメインネームシステム(DNS)サーバも
「名前」がドメイン
「電話番号」がIPアドレスなのです。

よってブラウザからドメインが入力されたら
まず、DNSに問い合わせして「ドメイン」から「IPアドレス」を教えてもらうのです。

ブラウザはこのIPアドレスでホームページを見つけて表示するのです。

今回の犯罪は、この素晴らしい「問い合わせの機能」を悪用したのです。

アナログなハイジャック方法

新聞記事では、「ドメイン名を管理する会社のシステムに侵入。ドメイン名の接続先を不正に書き換えて」とあり、犯罪者がインターネットを使わないで、人力でドメインネームシステム(DNS)サーバからドメインを見つけてIPアドレスを書き換えと考えられます。

要は、電話帳の電話番号を書き換えたということですね。
「電話をしたら犯人がでた」ということですね。

ドメイン名を管理する会社の人間の手引きがないと成功しないです。

本来?のドメインハイジャックとは

本来かどうかは不明ですがブラックハットハッカーは
まずドメインネームシステム(DNS)サーバに侵入して

・対象のドメインの問い合わせに対して悪意のあるIPアドレスを送信する
・サーバの管理権限を奪い、対象のドメインのIPアドレスを悪意のあるIPアドレスに書き換える

ことをします。

ドメイン名ハイジャックのまとめ

今回の犯罪は、犯罪者が直接DNSサーバを書き換えた様子ですね。
ドメイン名ハイジャックは冒頭でも説明しましたが、一見するとわからないが巧妙につくられた偽物のホームページを作成して個人情報を盗むフィッシング詐欺に使われます。
ほとんどの人はこの犯罪に気づくことは少ないと思います。
特に支払いのページなどで「違和感」があればやめる勇気が必要ですね。