2014年11月5日にJPCERT/CC、JPRSがドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。

注意喚起・対策

タイムライン

日付	出来事
9月第1週	Volexityが日経で不正なサイトへの接続を確認。
10月9日	VolexityがBlog記事を公開。
10月15日	はてながはてなブックマークで生じた警告について調査を開始。
10月18日	はてながはてなブックマークで生じた警告について公式発表。
10月20日	JPCERT/CCがはてなへドメイン登録情報の変更に関する情報を寄せる。
11月5日	JPCERT/CCとJPRSがドメイン名ハイジャックに関する注意喚起を公開。
	日経が速報でドメイン名ハイジャックの影響を受けたこととJPCERT/CCの注意喚起を報じる。
11月6日	はてなが調査経過状況を報告。

2014年9月〜10月に発生したドメイン名ハイジャック

対象：国内の組織が運用する複数の.comドメイン
ハイジャックの目的：不明
ハイジャックが行われた時期：2014年9月〜10月
登録情報の不正な書き換えが行われていた期間：数時間〜数日

ハイジャック時に閲覧していた場合：
- 意図しないIPアドレスに誘導され、攻撃者が用意したサーバーに接続していた可能性がある
- 誘導先の偽サイトから特定の利用者に対しマルウェアの注入を図る行為が実行された可能性がある

不正書き換えの隠ぺい：
- １〜２日程度で元の登録情報に巻き戻しが行われていた
- ネームサーバー情報全てではなく、一部のみ書き換えが行われた

ハイジャックされた、またはその疑惑のあるドメイン名

(1)日本経済新聞社

parts.nikkei.com
- /parts/SC/s_cDS.jsにjava-se.comへ接続するコードが追加されていた。

以下の2ドメインで読み込まれていた模様。
- asia.nikkei.com (Nikkei Asian Review)
- www.nikkei.com (日本経済新聞電子版)

ハイジャック時に誘導された外部ドメイン

jre76.java-se.com (211.125.81.203)
- /js/rss.js

日経の関連リンク

(2)はてなブックマーク

b.st-hatena.com
- /js/bookmark_button.jsにjava-se.comへ接続するコードが追加されていた。

11月6日のはてなの経過報告では次の4点を確認済みとしている。

1.はてなのサーバーに対する攻撃者の侵入はない
2.はてなとレジストラの間の認証情報（アカウント）は悪用されていない
3. 権威DNSサーバーに対する攻撃ではない
4.はてなが契約するCDNサービスに対する攻撃ではない
http://bookmark.hatenastaff.com/entry/2014/11/06/101514

「一連の調査結果」によりJPCERT/CCとJPRSが注意喚起を発表したことが記載されている。

「st-hatena.com」のGoogle SafeBrowsingのレポートがいまだ「不審なコンテンツが最後に検出されたのは 2014-11-06 です」とあり、日経とは異なる結果であることからはてなの報告内容を疑問視する記事と、はてなアンテナのリダイレクト用ドメイン(a.st-hatena.com)がst-hatena.comのレポート内容と一致することからこれが原因ではないかと指摘する記事。
- はてながDNSハイジャックのせいにして逃げるので追いこんでおくか
- はてブにも書いたのだけど、一応増田にもメモしておく。

誘導された外部ドメイン

jdk-7u12-windows-i586.java-se.com (210.253.96.200)
- /bk/1.js
- urlQueryhttp://urlquery.net/report.php?id=1412920447889
- jsunpackhttp://jsunpack.jeek.org/?report=c21c6c4b1d055efb8e66a02f6758bc150f62e551

はてなブックマークの関連リンク

(3) オークファン

aucview.aucfan.com

誘導された外部ドメイン

jdk-7u12-windows-i586.java-se.com
- /bk/1.js
- jsunpackhttp://jsunpack.jeek.org/dec/go?report=7ecf0787ac2f7850b892e5c16ee352f05f476003

Volexityにより確認された別事案の捕捉事例

別件(jdk-7u12-windows-i586.java-se.com)で動作コードを入手し、以下動作を確認したとのこと。

Javaアップデート(名前：jre-7u61-windows-x86-Update)を偽装したJava アプレットが起動する。
Java アプレットの発行者欄は「WindySoft」と表示される。
Java アプレットを実行するとcss.jpgをダウンロードする。
css.jpgの実態はXORされた実行可能ファイル。VTへの登録無し。
実行した結果、新型のPlugXに感染する。

css.jpgのダウンロード元
- elsa-jp.jp

PlugXの接続先
- jduhf873jdu7.blog.163.com

FireEyeが報告したOperation Poisoned Handoverとの関連性

Operation Poisoned Handover: Unveiling Ties Between APT Activity in Hong Kong’s Pro-Democracy Movement
FireEyeが11月3日(現地時間)に公開。
香港デモを受けて行われた可能性を示唆。
C2サーバーのリストを見ると国内のドメインが悪用されていた模様。

sapporo-digital-photoclub[.]com
wakayamasatei[.]com
tommo[.]jp
mizma.co[.]jp
sp.you-maga[.]com
nitori-tour[.]com
ninekobe[.]com
shinzenho[.]jp
wizapply[.]com
www.credo-biz[.]com
http://www.fireeye.com/blog/technical/2014/11/operation-poisoned-handover-unveiling-ties-between-apt-activity-in-hong-kongs-pro-democracy-movement.html