セキュリティ

「Perl.com」のドメイン乗っ取り事件の真相をPerl.comの編集者が語る


プログラミング言語Perlの老舗情報サイトである「Perl.com」が2021年1月27日、何者かにドメインを乗っ取られたことが判明しました。記事作成時点でPerl.comは既に復帰していますが、それまでには多くの労力と多くの人の助けがあったとして、Perl.comの編集者であるブライアン・ド・フォイ氏が事態の経緯をまとめています。

The Hijacking of Perl.com
https://www.perl.com/article/the-hijacking-of-perl-com/


2021年1月27日の早朝、フォイ氏がドメインに問題があることに気づいた後、すぐに読者から「Perl.comが消えた」という報告が届きだしたとのこと。この報告の数はDNSの更新が世界中で行われていくにつれ増加していきました。

そして同日、フォイ氏はTwitterでPerl.comの乗っ取りについて発表し、助けを求めました。


フォイ氏のもとには多くの情報が寄せられましたが、大変だったのは、この情報が「ただのうわさ」レベルの内容から「専門家の意見」まで多岐に及んでいたこと。情報を精査するためにフォイ氏はGoogleドキュメントを作成して関係者を招待し、信頼性の高い情報を「緑」、確かそうではあるものの未確認の情報を「黄色」、ただのうわさや質の悪い情報を「赤」で色分けし始めました。緑に色分けされた情報には、例えばレジストラと直接やりとりして得られたものなどが含まれます。情報を分類したフォイ氏は、うわさや推測に基づいた情報ほど「興味深い」ものだったと述べています。

このドキュメントに書き込まれた情報をもとに、さまざまな人が自分の得意な分野について調査してくれたとのこと。Perl NOCのロバート・スピア氏はネットワークやタイムラインの観点から調査を行い、メールサービスTopicboxのCTOであるリック・シーニュ氏は自社サービスを通じて手助けしてくれたとのこと。多くの人が手助けしてくれたため、フォイ氏の仕事は「他の人ができることを自分でも行う」のではなく、「得意な人がおのおのに行ってくれた仕事を全体的にコーディネートすること」だったそうです。

フォイ氏はPerl.comの所有者ではなく一編集者ですが、Perl.comのドメイン登録者であるプログラマーのトム・クリスチャンセン氏と協力してプログラミングを行っていたこともあり、連携はスムーズだったと述べられています。


フォイ氏のツイートやRedditの投稿は多くの注目を集め、比較的早い段階でドメイン登録業者のネットワーク・ソリューションズKey Systemsとつながることができたとのこと。このように、Perlが愛されコミュニティが助けの手を多く差し伸べてくれたことから、ものごとはスムーズに進んだとフォイ氏は述べています。

そして、フォイ氏らはThe Perl NOCで更新情報を1つの記事として公開。さまざまなメディアがウワサや真偽の定かではない情報を発信していたため、この記事によってインターネット上で情報が交錯する状態を避け、人々が正しい情報を手に入れられるようになりました。

The Perl NOC: perl.com hijacked
https://log.perl.org/2021/01/perlcom-hijacked.html


ドメインの乗っ取りから1週間が経過した時点で、乗っ取りの解明には数週間かかる可能性があるとフォイ氏は算出しました。問題にはさまざまな法律や規則が制定されている複数の国が関係していたため、ペースが遅くなったそうです。

その後、2月始め頃に「数日でドメインを取り戻すことが可能」という「緑」の情報が手に入ったとのこと。一方で、ドメインが乗っ取られている期間に数々のセキュリティ製品がPerl.comをブラックリストに登録し、DNSサーバーの中にはPerl.comをシンクホールとしたところもありました。これらの問題解決が残っていたため「すぐには喜べなかった」とフォイ氏は述べていますが、2月28日時点では「完全復活した」とのこと。

そしてフォイ氏は、Perl.comの乗っ取り事件の被害者は、Perl.comだけではなかったことに言及。偽の文書を使うなどしてNetwork Solutions経由でソーシャルエンジニアリング攻撃があったとフォイ氏は述べました。

また知的財産弁護士のジョン・ベリーヒル氏が指摘するように、実際にPerl.comが盗まれたのは2020年9月28日で、その後12月に中国のレジストラであるBizCNにドメインが移されたものの、この時はネームサーバーが変更されませんでした。そして1月になって再度Key Systemsにドメインが移されたとみられています。このように複数のレジストラにドメインが移され潜伏期間を設けられることによって、異変の検出が遅れ、回復がより困難になるそうです。


9月~12月までの最初の潜伏期間が長いのは、60日が経過しないとドメイン名を移管できないというICANNのルールが理由です。1月にドメインがKey Systemsに移管されると、新しいドメインの登録者はドメインのマーケットプレイスであるAfternicでPerl.comを売りに出しました。「19万ドル(約2000万円)あればPerl.comが買えたはずです」とフォイ氏。その後、レジストラの問合せを受けてAfternicからPerl.comは削除されました。

フォイ氏はドメインの乗っ取りについて「珍しいことではない」としています。そして、この事件を受けて「1つの場所から情報の発信とコミュニケーションを行うこと」の重要性を学んだと述べました。情報の交錯するインターネットでは、たとえ同じ内容でも、メッセージが異なれば、情報の受け手に混乱を生じさせる恐れがあるとのこと。また、「自分を助けてくれる人々といい関係を築くこと」が常に助けになるとも付け加えました。

この記事のタイトルとURLをコピーする

・関連記事
「DNSハイジャック」が世界的に広まる中で「.gov」ドメインを乗っ取られないためにアメリカ政府が取った施策とは? - GIGAZINE

偽のドメイン名をかたる「DNSハイジャック」の標的がAndroidからiOSやPCへと拡大して世界中にも拡散中 - GIGAZINE

アニメ「ラブライブ!」の公式サイトが何者かによって乗っ取られる、原因は「ドメイン移管の承認」か - GIGAZINE

ウェブサイトをハッカーに乗っ取られ1ビットコインを要求されたチケット発行サービス「Ticketfly」がサービス停止 - GIGAZINE

電話番号を奪われメールやSNSのアカウントも丸ごと乗っ取られる「SIMハイジャック」 - GIGAZINE

in セキュリティ, Posted by logq_fa

You can read the machine translated English article here.