パスワードを忘れた? アカウント作成
15276328 story
インターネット

偽の裁判所令状を使用したドメイン乗っ取りが発生 35

ストーリー by nagazou
乗っ取り 部門より
あるAnonymous Coward 曰く、

4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した(NjallaのPeter Sunde氏のツイートdark.failによる警告dark.failを所有するdark.fail氏のツイートTechNaduVICE)。

被害を受けたのはdark[.]failとdarknetlive[.]com。
dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。

両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。

Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。
https://twitter.com/brokep/status/1389314362561777665

1. 4月28日、Tucowsがドイツ・ノルトライン=ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。
令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。

2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報(移管用のコードと思われる)を返信する。

3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。

4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。

偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order(箝口令)が添付されており、リセラーであるNjallaには一切の通知が無かった。

この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。

----
もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。

情報元へのリンク

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年05月06日 19時09分 (#4025836)

    真正性の確認というのは、何が本物か周知されていないとできないと
    思うんだが、そういう活動があまり熱心にされているようには思えない。

    本物の警察の制服とか身分証明書とか、わかる?

    • by Anonymous Coward

      メールならS/MIME Class 2 証明書で署名してくれてたら送信元の組織の真正性は確認できるね

    • by Anonymous Coward

      そこらの民間企業より裁判所の方が真正性を証明する力が弱いというのは由々しき事態かもね

    • by Anonymous Coward

      日本なら特別送達で届くだろうから。

      警察は照会ページ欲しいよね。
      既知になると駄目だから何らかのワンタイム制が欲しいけど。

      • 警察と医師は照会できるシステム欲しいなぁ
        # 医師会あるけど、任意なので。

        親コメント
        • by Anonymous Coward

          医師は検索システムがあるんじゃない?
          それより医師免許は原本に顔写真が無いとかクレカサイズじゃないってレベルじゃなく
          小学校の運動会みたいなガチの賞状フォーマットってところが問題
          いい加減どうにかしないのかよあれ

          • by Anonymous Coward

            行政の発行する許可証の類って、専用紙にその自治体オリジナルの印刷を入れた紙に、
            本文をプリントして、ハンコを押すみたいなのが多かったが、
            ハンコ廃止ブームで、一部の自治体は、普通のコピー用紙にプリンターで印刷したハンコも無いものを許可証にするみたいなのが出てきた

            前者の場合、まず紙を入手するハードルが高く、ハンコの偽造も必要だが、
            後者の場合だれでも偽造可能になった

    • by Anonymous Coward

      紙の令状にQRコード貼り付けてあって、それで裁判所の公式サイトにアクセスすると、内容が確認できるとか
      それか最初から裁判所の電子署名入り令状を電子的に発行

      • by Anonymous Coward

        QRコードじゃいくらでも偽装できちゃうでしょ・・・

        • by Anonymous Coward

          え、なんで偽装できると思うの?w

          QRコードを読み込んで、法務省なりのサイトに飛んで、内容が紙と一致しなかったら偽造って訳でしょ?
          照会サイトのドメインを意味不明な文字列や頻繁に変わる民間ドメインにしなければいいだけ

          • by Anonymous Coward on 2021年05月06日 21時06分 (#4025908)

            そして偽の1文字違いの照会サイトを信じてドメインが引き渡されるんですね分かります。

            親コメント
            • by Anonymous Coward

              で、アプリにしたところ、五重下請けで欠陥アプリが出来上がって規約違反でBANされると

            • by Anonymous Coward

              だから裁判所のURLはこちらでググって調べてアクセスしろとあれほど。

              警察を名乗るものからの詐欺電話への簡単な対策は、適切な最寄りの
              警察の窓口を「自分で」しらべて問い合わせること。

              むこうからかかってきた電話や相手が教えた電話番号を信じちゃいかん。
              URLからのフィッシング詐欺や、QRコードになってもそれは同じ。

              • by Anonymous Coward

                マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を
                https://it.srad.jp/story/15/12/02/0641209/ [it.srad.jp]

                Google検索結果の広告枠に不正ショッピングサイトが多数表示されていたことが明らかに
                https://yro.srad.jp/story/15/01/09/0829213/ [yro.srad.jp]

              • by Anonymous Coward

                何を今更、こんなの十年以上昔からあったわ。

                Firefoxの最新版をダウンロードしようとして「firefox」でGoogle検索しても
                一番上に来るのが公式じゃなくてマルウェア仕込みを配布するダウンロードサイトだった、とかな。

                重要なのは目の前に出ているものの真偽をしっかり自分の目で吟味することであって
                検索結果が正しいとは限らないよ~などとドヤ顔することではないし
                そもそもそれは検索という行為だけに当てはまることですらない。

          • by barrel (25979) on 2021年05月08日 1時22分 (#4026762)

            偽の紙令状ならそららしい偽サイトのQRコードが載っているのが当然なのでは・・・

            親コメント
          • by Anonymous Coward

            偽装が通用するわけですわ…。

          • by Anonymous Coward

            それって真正性を担保してるのはQRコードじゃなくてWebサイトのドメイン登録情報ですよね
            そういう真正確認システムが存在しないとは言わない(iPhoneの非公式SIMロック解除下駄で見た覚えがある)けど
            ストーリーのようにホモグラフ攻撃されると見抜けないおそれがあるので親コメへの回答としては不正解

          • by Anonymous Coward

            自分が騙す側だったら、法務省に似たドメイン取得して
            QRコードにして偽の紙の令状に貼り付けるでしょ。
            それで裁判所の偽公式サイトにアクセスしてもらって、内容を確認した気にさせるでしょ

            よく似たドメインの話なのによくそれで対策になるって思えるよな・・・wとかつけて大丈夫かよ

    • by Anonymous Coward

      精巧な偽造品の作り方を熱心に周知されたら困るじゃろ

      • by Anonymous Coward

        警察手帳の偽物が使われる事件があると、本物と並べた報道写真がよく出てくるような

        • by Anonymous Coward

          そういや昔のドラマに出てきた警察手帳は表紙に「警察手帳」と書いてあったけど
          本物には「警視庁」とか「〇〇県警察」とか書かれてたとか聞いたことあるな。
          偽物を防ぐために本物に似せた撮影プロップを使えなかったのかな?
          ドラマ見すぎな人は本物の刑事に本物見せられたら偽物と判断しちゃいそうだけどw

    • by Anonymous Coward

      令状の発行対象者が発行した裁判所に電話かけたら答えてくれるんだろうか

      • by Anonymous Coward

        もしかしたら、メール記載の連絡先が偽の裁判所につながっていて、令状が申請のものだと説明されるのが落ちではないか?

        • by oni-giri.rice (49266) on 2021年05月07日 14時02分 (#4026307)

          メールの内容を確認するのに、メールに記載した連絡先に問い合わせるのは今や手落ち。
          先方の公式をgoogleなりで調べて問い合わせないと。

          親コメント
        • by Anonymous Coward

          少なくとも日本の場合
          ・「発行した裁判所名」「発行した裁判官名」は令状に記載されている。
          ・裁判所の電話番号は、裁判所のHPに記載されている

          で、正規の電話番号にかけた場合、記録に残せる回答もらえるのかなという話

          というか、自分的には本物に見える令状を見せられて対応を迫られた時、電話かけて真偽の確認できればなーという

          • by Anonymous Coward

            普通に可能な範囲で答えてもらえるだろう。裁判所も税金で運用されているサービスなので国民に対して不親切な対応はしない。問い合わせれば手取り足取り教えてもらえる。

            その上で、あえて言わせてもらうならば、

            > ・裁判所の電話番号は、裁判所のHPに記載されている

            それが本物の裁判所のHPであることを、どうやって確認するの? っていうのが大元の話だよ。

            • by Anonymous Coward

              > 本物の裁判所のHPであること

              ドメインがcourts.go.jpであることを確認するだけでは? 制服や警察手帳のほうが素人には確認困難だと思う

              • by Anonymous Coward

                ちょっと待ってください、courts.go.jpが本物の裁判所のドメインであることをどうやって確認しましたか?
                Google検索で一番上に来ましたか?(いいえ、彼らは検索ワードに最も一致する結果を表示しただけです!)

              • by Anonymous Coward

                go.jpが政府機関のドメインであることで。
                # ネタで言ってるのかどうかよくわからんけど

              • by Anonymous Coward

                次にテメーは「go.jpが政府機関のドメインであることはどうやって確認しましたか?」と言いそうだからもう一度言っておくと、制服や警察手帳が本物であることを初見でそれより簡単に確認できるの?

              • by Anonymous Coward

                > 制服や警察手帳が本物であることを初見でそれより簡単に確認できるの?

                その優劣を付けることに何の意味が?

                本物の警察の制服にしろ身分証明書にしろドメイン名にしろ、何が本物か周知されてないから、どれも同様にわからないよねっていう話では?

    • by Anonymous Coward

      息子に確認しましたところ仮性とのことでした(違

  • by Anonymous Coward on 2021年05月10日 0時29分 (#4027653)

    皆は知っているだろうかコンクリート事件その後真実
    犯人の一味であるは横山裕史
    2007年に仮出所、そして2009年に刑期満了で完全に出所した横山裕史は、保護司と養子縁組をして「海老川 奨」という名に変更。悠々自適に家庭を持ち暮らす糞野郎に罰を

    現住所
    7815235
        高 知 県 香 南 市 野 市 下井
    1 1 0 1- 1 2

typodupeerror

人生unstable -- あるハッカー

読み込み中...