ドメイン管理サービスへの不正ログインか…企業のドメイン名乗っ取られる

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 6/5号 目次 –

01. ドメイン管理サービスへの不正ログインか…企業のドメイン名乗っ取られる


02. 小学校教師のPC「サポート詐欺」で遠隔操作…児童約200人分の個人情報流出か


03. gmailではなくgm「e」ilへ…高校生徒個人情報等第三者へメール送信か

ドメイン管理サービスへの不正ログインか…企業のドメイン名乗っ取られる

– 6月3日、ファッション系ネット通販業の夢展望社より、子会社トレセンテ社の公式サイトのドメイン名(trecenti.com)が第三者に奪取されたと発表されました。

– ドメイン管理サービスへの不正ログインにより、5月29日に海外の別の管理サービスに当該ドメイン名を移管されたとしています。

– 当該ドメイン名の移管以外で、サーバーへの不正アクセスや個人情報等流出等の被害は確認されておらず、別のドメイン名で運営されているトレセンテ社のECサイトについても影響はないとのことです。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2406/04/news120.html
https://www.nikkei.com/nkd/disclosure/tdnr/20240603519251/

AUS便りからの所感 AUS便りからの所感

ドメイン名が第三者に入手される事例としては、失効したドメイン名が正規に登録されるものが知られ、特に終了からさほど時間が経っていないサービスで使われていたドメイン名を乗っ取り、不審なサイトへの誘導に利用する「ドメインスクワッティング(サイバースクワッティング)」という攻撃手法が知られています。

今回のように利用中のドメイン名が第三者に乗っ取られる事例では、レジストリロック(トランスファーロック)がかかっていなかったためにアカウントへの不正ログイントを経ずとも移管手続きが実行されるケース、またJPドメインではレジストリロックがない上に申請から10日以内に拒否しなかった場合に成立してしまうルールが悪用されたケースもあります。

外部に移管する作業を行っているのでない限り、レジストリロックが提供されていればそれを有効にすることが大前提となりますが、ドメイン管理サービスのアカウントに不正ログインされた場合にこれを解除される等して不正移管に繋がる恐れがあり、アカウントに対し強固かつ他のサービスで使っていないパスワードを設定すること、加えてサービスが提供する多要素認証を利用することにより、確実に保護することも決して忘れてはいけません。

小学校教師のPC「サポート詐欺」で遠隔操作…児童約200人分の個人情報流出か

– 6月3日(日本時間)、大阪府熊取町教育委員会より、同町の小学校児童の個人情報がいわゆる「サポート詐欺」によって流出した可能性があると発表されました。

– 関西地方のテレビ局での報道によれば、被害を受けたのは、同町立小学校の教師が受け持っている児童約30人の集合写真・個人名等(学級通信に掲載)と、以前受け持っていた別の市の小学校の児童約170人分の活動記録・成績所見とされています。

– 5月29日、同教師が資料作成を行っていたPCで突如「ウイルスにかかっています」等といった警告が表示され、記載された電話先からの指示に従ったところ、PCを遠隔操作され、児童の情報が入ったフォルダーが削除されていたとしています。

– 同日中に校内の他のPCやサーバーを含めウイルスチェックを行いましたが、感染は確認されなかったとのことです。

[ 出典 ]
https://www.ktv.jp/news/articles/?id=12760
https://www.asahi.co.jp/webnews/pages/abc_25969.html
https://www.town.kumatori.lg.jp/material/files/group/1/20240603-houdouteikyou2.pdf

AUS便りからの所感 AUS便りからの所感

サポート詐欺でよく使用される「偽のセキュリティ警告画面」については、IPAが体験サイトを公開(https://www.ipa.go.jp/security/anshin/measures/fakealert.html 、AUS便り 2023/12/20号参照)しており、例えば偽の警告画面のフルスクリーン表示を解除する方法として「ESCキーを一定時間押す」ことが挙げられています。

一方で今回サポート先を騙る相手からもこの操作が指示されたと報じられており、被害者を安心させ、詐欺を成功させやすくする意図があったと考えられ、様々な攻撃の手口についてユーザーが学習、および組織内で周知し、慎重な行動をとってもらうことが肝要です。

gmailではなくgm「e」ilへ…高校生徒個人情報等第三者へメール送信か

– 5月31日、滋賀県教育委員会より、同県立高校からインターンシップに参加した生徒140人分の個人情報(氏名・生年月日・住所・保護者名)等が学外に流出した可能性があると発表されました。

– 同高校教諭が私用のGMailアドレスにデータを送信しようとして、「***@gmail.com」となっていたメールアドレスを「***@gmeil.com」と誤入力して送信していたことが原因としています。

– 上長からメール送信の許可を得ていたものの、パスワードによるデータの保護やアドレスの確認を怠っていたとしています。

[ 出典 ]
https://www.yomiuri.co.jp/national/20240601-OYT1T50016/

AUS便りからの所感 AUS便りからの所感

gmail.comに似たドメインへの入力ミスによる送信の事例は過去たびたび発生しており、2022年には埼玉県の大学から「@gmai.com」へ、2023年には大阪府の大学から「@gmeil.com」へ、それぞれメール転送設定を誤り、長期間情報が流出していたことが明らかになっています。

ユーザー側で入力ミスを完全に防止するには限界があり、メーラー自身やアドオンあるいはメールサーバー等に対するソリューションとして提供される誤送信防止機能の導入による対策を強く推奨致しますが、一方で前述したような実害が度々発生しているドメイン名については、メールサーバーの設定で遮断するよう設定するのも検討に値するでしょうし、製品であれば有害なドメイン名としてデフォルトで設定されるようになることも期待したいものです。