ルーマニアのccTLDレジストリが乗っ取られた?

2012/11/29-1

アンチウィルスソフトのカスペルスキーが運営しているブログで、ルーマニアのTLDレジストリであるRoTLDがクラックされたのではないかと推測しています。

今月はじめにアイルランドのIEDRがクラックされたことを認める報告書を公表しましたが、もしかしたら、ルーマニアでも類似する事例が発生したのかも知れません。

当初、カスペルスキーブログでは、8.8.8.8および8.8.4.4のGoogle Public DNSに対して、俗称「毒盛り」とも言われているDNSキャッシュポイズニングが成功していたのではないかと推測していましたが、その後、実は.ieの場合と同じように.roのccTLDレジストリがクラックされたのではないかと追記されています。

カスペルスキーブログの記事は、MCA-CRBと名乗っているアルジェリアのクラッカーが、ルーマニアのgoogle.roとyahoo.roを乗っ取ったというsoftpediaの記事を検証したものです。

カスペルスキーブログでは、google.roやyahoo.roそのものが乗っ取られたわけではなく、それらのFQDNが指す先がノルウェーの別ホストになっていると述べています。 そのうえで、.roのccTLDのレジストラであるRoTLDがクラックされたか、それともGoogleとYahooの.roドメイン用アカウントが乗っ取られたのかなどを考察しています。 しかし、RoTLDに関しては、関連する全てのドメイン名に影響が出ているわけではないので恐らく違うだろうと記事中では推測されています(個人的には.ieの件もあるので、全てが影響を受けてないからという理由はあまり納得できないと、最初に読んだ時に思ったのですが、やっぱりそうだったようです)。 Google.roとYahoo.roのアカウントが乗っ取られたのではないかという推測に関しては、Paypalやマイクロソフトや、その他様々なドメイン名に影響が出ているので、恐らく違うだろうと書かれています。

追記前の状態では、ISPレベルでのDNSキャッシュサーバに対して、DNSキャッシュポイズニングが行われたのではないかと記事は予想していました。

カスペルスキー記事への追記

その後の追記で、各種DNSサーバで試したところ、影響を受けていることを発見できたのは8.8.8.8だけであると記述されました。 さらに、「dig @8.8.8.8 google.ro」もしくは「dig @8.8.4.4 google.ro」というコマンドで誰でも事象を確認可能であると追記が加えられました。

その後、google.roに関して8.8.8.8および8.8.4.4で修正されたと書き加えられています。

RoTLDがクラックされたんじゃない?と追記

さらに、その後、実は.ieのIEDRと同じように.roのRoTLDがクラックされて発生したのではないかと推測内容を変更しています。 ただし、RoTLDの公式見解は、まだ出ていません。

カスペルスキーによる調査で、影響を受けていたことが確認できたのは、以下のドメインだそうです。

  • google.ro
  • yahoo.ro
  • microsoft.ro
  • paypal.ro
  • kaspersky.ro
  • windows.ro
  • hotmail.ro

なお、カスペルスキーブログには、今後さらに検証を続けるとあるので、もしかしたらまた状況が変わるかも知れません。

プロフェッショナルIPv6解説動画シリーズ再生リスト

動画で学ぶ「プロフェッショナルIPv6」を作っています。 もしよろしければご覧ください。お楽しみいただければ幸いです!