1. DNS/乗取
DNS/ドメイン名乗取 と同意でしょう。 DNS/なりすまし をまとめてみよう。
乗取の解説、手法の分類、対策などを整理したい。-- ToshinoriMaeno 2021-03-11 20:18:44
1.1. 乗取が指すもの
ずいぶんといろいろな方法が使われています。「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。
- 期限切れのドメイン名を登録するのはドロップキャッチと呼ばれている正規の手続きです。
(1) 最近ではcoincheck, cream.finance, pancakeswap.finance などがある。
- レジストラ上のアカウントを乗取り、NSを書き換えている。
DNS/詐取 DNS/ドメイン盗用 とした。
(2) 「共用DNSサービスへのDNS/lame_delegationを利用した乗取」に注目している。
- lame delegation でなくとも部分的乗取は可能かもしれない。(2012 さくら)
(3) キャッシュポイズニングなど、リゾルバーを攻撃するものもある。
- これも分類が必要だが、ここでは省略。
(4) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)
(5) レジストラ移管申請(承認手順の不備、詐欺など)
(6) DNSサービス業者による停止, 移転(cloudflareでだけ見かける)
類似の名前、よく似た名前を登録するのは、typo squatting と呼ばれている。
DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。
乗取なら分からなくもないが、広すぎる。DNS/hijacking
/レジストラによる強制変更 も乗取と言えそう。
/権利確認なし で任意のゾーンを作成できるサービスがあり、危険です。(親子同居とか兄弟同居とか)
- 危険な委譲設定をしてしまうのはドメイン名権利者が勉強不足といえます。
cache poisoning 攻撃に負けやすい構成なども。(fragmentationすり替え攻撃を含む。)
DNS/毒盛/2015/ribbon.to事件 起きて当然のことが起きた。
- visa.co.jpと同種の欠陥を抱えていたribbon.to(gachagacha.org)が広告業者に乗っ取られた。
ゾーンデータは修正されたが、 KDDIキャッシュサーバの欠陥と重なって、現在も広告表示は続いている。(浸透待ち中w)
-- ToshinoriMaeno 2015-12-22 00:50:43
1.2. IP アドレス
/wocowstore.com は当選詐欺が表示された。
/173.249.6.108 を指すサイトは乗取られているものが多数ある模様。
watchA/awsdns/mcstate.com も最近NSが返事をする。
これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html
1.3. 乗取の判定
Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインを調査する。