全1943文字
PR

 仮想通貨交換所であるコインチェックは2020年6月2日、利用者などが同社宛てに送ったメールの一部が第三者に盗聴されていたと明らかにした。最大で約300人のメールを盗聴された可能性があるという。

 この被害について同社は、コインチェックのドメイン(coincheck.com)を管理するドメイン名登録事業者(レジストラ)「お名前.com」への不正アクセスが原因とした。自社ではなくレジストラが原因だったという珍しい事例だ。

 お名前.comを運営するGMOインターネットも同社サービスに不正アクセスがあったことを認めた。さらに6月4日には仮想通貨交換所のビットバンクもお名前.comへの不正アクセスによって被害に遭う可能性があったと発表した。

ドメイン情報の一部を書き換え

 コインチェックやGMOインターネットが明らかにした情報から、攻撃は次のように行われたと考えられる。

コインチェック宛てのメールが盗聴された攻撃の流れ
コインチェック宛てのメールが盗聴された攻撃の流れ
出所:日経NETWORK
[画像のクリックで拡大表示]

 攻撃者はレジストラのドメイン管理サービスの脆弱性を突いて、レジストリに登録されていたDNSサーバーに関する情報を書き換えたとみられる。

 DNSサーバーはドメイン名からIPアドレスを調べる(名前解決をする)サーバー。どのDNSサーバーを使うかはドメインの所有者が指定する。攻撃者はこの情報を書き換えて、コインチェックのDNSサーバーとして攻撃者が用意したサーバーを指定した。

 これによりcoincheck.comのWebサイトにアクセスしたり、coincheck.comを含むメールアドレス宛てにメールを送ったりするときに、攻撃者のDNSサーバーを参照させられるようになる。

 利用者がコインチェック宛てにメールを送ろうとすると、メールソフトがcoincheck.comのIPアドレスをDNSサーバーに問い合わせる。このとき、レジストリのDNSサーバーは攻撃者のDNSサーバーを指定するため、メールソフトは攻撃者のDNSサーバーを参照。攻撃者のDNSサーバーはコインチェックのメールサーバーとして攻撃者のメールサーバーのIPアドレスを返す。これによりコインチェック宛てのメールを盗むことが可能になる。