ルーマニアのccTLDレジストリが乗っ取られた？

アンチウィルスソフトのカスペルスキーが運営しているブログで、ルーマニアのTLDレジストリであるRoTLDがクラックされたのではないかと推測しています。

• SECURELIST: Google.ro and other RO domains, victims of a possible DNS hijacking attack

今月はじめにアイルランドのIEDRがクラックされたことを認める報告書を公表しましたが、もしかしたら、ルーマニアでも類似する事例が発生したのかも知れません。

当初、カスペルスキーブログでは、8.8.8.8および8.8.4.4のGoogle Public DNSに対して、俗称「毒盛り」とも言われているDNSキャッシュポイズニングが成功していたのではないかと推測していましたが、その後、実は.ieの場合と同じように.roのccTLDレジストリがクラックされたのではないかと追記されています。

カスペルスキーブログの記事は、MCA-CRBと名乗っているアルジェリアのクラッカーが、ルーマニアのgoogle.roとyahoo.roを乗っ取ったというsoftpediaの記事を検証したものです。

カスペルスキーブログでは、google.roやyahoo.roそのものが乗っ取られたわけではなく、それらのFQDNが指す先がノルウェーの別ホストになっていると述べています。 そのうえで、.roのccTLDのレジストラであるRoTLDがクラックされたか、それともGoogleとYahooの.roドメイン用アカウントが乗っ取られたのかなどを考察しています。 しかし、RoTLDに関しては、関連する全てのドメイン名に影響が出ているわけではないので恐らく違うだろうと記事中では推測されています(個人的には.ieの件もあるので、全てが影響を受けてないからという理由はあまり納得できないと、最初に読んだ時に思ったのですが、やっぱりそうだったようです)。 Google.roとYahoo.roのアカウントが乗っ取られたのではないかという推測に関しては、Paypalやマイクロソフトや、その他様々なドメイン名に影響が出ているので、恐らく違うだろうと書かれています。

追記前の状態では、ISPレベルでのDNSキャッシュサーバに対して、DNSキャッシュポイズニングが行われたのではないかと記事は予想していました。

カスペルスキー記事への追記

その後の追記で、各種DNSサーバで試したところ、影響を受けていることを発見できたのは8.8.8.8だけであると記述されました。 さらに、「dig @8.8.8.8 google.ro」もしくは「dig @8.8.4.4 google.ro」というコマンドで誰でも事象を確認可能であると追記が加えられました。

その後、google.roに関して8.8.8.8および8.8.4.4で修正されたと書き加えられています。

RoTLDがクラックされたんじゃない？と追記

さらに、その後、実は.ieのIEDRと同じように.roのRoTLDがクラックされて発生したのではないかと推測内容を変更しています。 ただし、RoTLDの公式見解は、まだ出ていません。

カスペルスキーによる調査で、影響を受けていたことが確認できたのは、以下のドメインだそうです。

• google.ro
• yahoo.ro
• microsoft.ro
• paypal.ro
• kaspersky.ro
• windows.ro
• hotmail.ro

なお、カスペルスキーブログには、今後さらに検証を続けるとあるので、もしかしたらまた状況が変わるかも知れません。

最近のエントリ

• Interop 2023のShowNetバックボーン詳解
• Interop Tokyo 2023 ShowNet取材動画
• 「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」を書きました！
• 1.02Tbpsの対外線！400GbE相互接続も - Interop ShowNet 2022
• Alaxala AX-3D-ViewerとAX-Sensor - Interop 2022
• SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022

過去記事

過去記事一覧