今週、レノボのウェブサイトとベトナムのグーグルのメイン検索ページの両方がリダイレクトされたことは、インターネットのアドレス指定システムの弱点を浮き彫りにしている。
水曜日には、lenovo.com の訪問者に対し、寝室に座る退屈そうな若い男性のウェブカメラ映像と、古いディズニー映画の「Breaking Free」が流れた。月曜日には、Google のベトナム向けサイトも一時的にユーザーを別のウェブサイトにリダイレクトした。
Google と Lenovo はともに、「ドメイン ハイジャック」の被害者となった。これは、ドメイン名をブラウザで呼び出せる IP アドレスに変換するドメイン ネーム システム (DNS) に対する攻撃の一種である。
両社のドメイン名レコードは、ユーザーが「lenovo.com」と「google.com.vn」を入力すると別のウェブサイトにリダイレクトされるように変更されました。
この変更は、ドメイン名を登録するマレーシアの企業であるWeb Commerce Communications(Webnic.ccとして知られる)を通じて行われたようだ。
ハッカー集団「リザード・スクワッド」が、この改ざんの犯行声明を出している。レノボは水曜日の午後にサービスを一時復旧させたように見えたが、その後システムメンテナンスのため利用できなくなったと通知で伝えられている。Webnic.ccにコメントを求めたが、すぐには連絡が取れなかった。
レノボのケースでは、ハッカーはレノボのドメイン名登録情報を改変し、サンフランシスコに拠点を置くCloudFlareのネームサーバーにリダイレクトするように仕向けました。CloudFlareは、広範なキャッシュ機能を通じてウェブサイトのパフォーマンス向上を専門とする企業です。ネームサーバーは、ウェブサイトを閲覧する際にどのIPアドレスを参照すべきかをコンピューターに指示します。
レノボのホームページがハッキングされたようだ
DNS関連のセキュリティを専門とするOpenDNSのシニアセキュリティ研究リーダー、アンドリュー・ヘイ氏によると、その後、CloudFlareのサーバーは、lenovo.comにアクセスしようとしたユーザーを、オランダのDigital Ocean社がホストする2つのIPアドレスにリダイレクトしたという。
他のサイトにリダイレクトされたユーザーは、退屈そうな若い男のウェブカメラ映像を目にした。ウェブページのソースコードには、「ライアン・キングとロリー・アンドリュー・ゴッドフリーをフィーチャーした、新しく改良されたレノボのウェブサイト」という一文が含まれていた。これは、ハッカー集団「リザード・スクワッド」と関係があるとされる人物を指している。
リザード・スクワッドはレノボの登録者アカウントにアクセスし、レノボの電子メールの一部も入手し、その抜粋をツイッターに投稿した。
レノボは先週、暗号化されたウェブサイト上の一部の広告を置き換える「スーパーフィッシュ」と呼ばれる秘密のアプリケーションをノートパソコンにプリインストールしたことで、すでに圧力を受けていたが、重大なセキュリティ上の脆弱性も生み出していた。
CloudFlare は無料サービスを提供し、悪意のある人物によって悪用されることもあったが、同社はレノボの問題解決に迅速に対応したと述べた。
「不正な移転を確認するとすぐに、当社はアカウントを掌握し、レノボに通知し、レノボがドメインの回復に取り組む間、サービスの復旧に協力した」と、クラウドフレアの主席セキュリティ研究者マーク・ロジャーズ氏は述べた。
月曜日、Googleのベトナム向けサイトが一時的にユーザーを別のウェブサイトにリダイレクトする問題が発生しました。Lenovoと同様に、Googleもgoogle.com.vnというドメイン名をWebnicに登録していました。
Webnic.cc のネットワークには、Lizard Squad によって発見された脆弱性があり、ドメイン名登録情報の変更が可能になった可能性があります。また、Lizard Squad がこれらの企業がドメイン名レコードの変更に使用していた認証情報を入手した可能性も考えられます。
これは低俗な攻撃スタイルだと考えられていますが、ドメイン名レコードの変更は、Web ユーザーにとっては、自分自身を守る手段がほとんどないため、危険となる可能性があります。
このような攻撃、特にトラフィックの多いウェブサイトに対する攻撃は、悪意のあるソフトウェアを自動的にインストールしようとするウェブサイトにリダイレクトできるため、非常に強力です。しかし、LenovoやGoogleのリダイレクトには、そのような仕組みが見当たらないようです。
ドメイン名登録業者は、ドメイン名レコードの保護を強化するため、DNSセキュリティ拡張(DNSSEC)と呼ばれるセキュリティ技術を徐々に導入しています。DNSSECは、公開鍵暗号を用いてドメイン名とそれに対応するIPアドレスにデジタル署名(署名)します。
しかし、この技術の設定は複雑であり、レジストラやホスティングプロバイダによるサポートが確立されるまでには何年もの努力が必要でした。
DNSSEC は、レノボへの攻撃を防ぐことができたかもしれない、あるいは「少なくとも、攻撃者が成功するまでに、攻撃をはるかに複雑かつ長時間かけて、より多くの手順を踏む必要があっただろう」とロジャーズ氏は述べた。
