仮想通貨交換事業者であるコインチェックは2020年6月2日、利用者などが同社に送信したメールの一部が第三者に盗聴されていたと明らかにした。最大で約300人のメールを盗聴された可能性があるという。
この被害について同社は、コインチェックのドメイン(coincheck.com)を管理するドメイン名登録事業者(レジストラ)「お名前.com」への不正アクセスが原因とした。自社ではなくレジストラが原因だったという珍しい事例だ。
お名前.comを運営するGMOインターネットも同社サービスに不正アクセスがあったことを認めた。さらに6月4日には仮想通貨交換事業者のビットバンクもお名前.comへの不正アクセスによって被害に遭う可能性があったと発表した。
ドメイン情報の一部を書き換え
コインチェックやGMOインターネットが明らかにした情報から、攻撃は次のように行われたと考えられる(図1)。
攻撃者はレジストラのドメイン管理サービスの脆弱性を突いて、レジストリ▼に登録されていたDNS▼サーバーに関する情報を書き換えたとみられる。
DNSサーバーはドメイン名からIPアドレスを調べる(名前解決をする)サーバー。どのDNSサーバーを使うかはドメインの所有者が指定する。攻撃者はこの情報を書き換えて、コインチェックのDNSサーバーとして攻撃者が用意したサーバーを指定した。
これによりcoincheck.comのWebサイトにアクセスしたり、coincheck.comを含むメールアドレス宛てにメールを送ったりするときに、攻撃者のDNSサーバーを参照させられるようになる。
利用者がコインチェック宛てにメールを送ろうとすると、メールソフトがcoincheck.comのIPアドレスをDNSサーバーに問い合わせる。このとき、レジストリのDNSサーバーは攻撃者のDNSサーバーを指定するため、メールソフトは攻撃者のDNSサーバーを参照。攻撃者のDNSサーバーはコインチェックのメールサーバーとして攻撃者のメールサーバーのIPアドレスを返す。これによりコインチェック宛てのメールを盗むことが可能になる。
この攻撃ではコインチェック側のDNSサーバーやメールサーバーで攻撃を検知するのは難しい。特にDNSサーバーはレジストラのサービスを利用することが多いので異常に気づくのは困難だろう。
