GoogleのルーマニアのドメインがアルジェリアのハッカーMCA-CRBに乗っ取られた

次の記事

Raspberry Piに移植されたMinecraftで子どもが遊びながらプログラミングを体験

メジャーなインターネット企業のドメインネームがハックされるのはパキスタンだけではないようだ。今朝(米国時間11/27)はgoogle.roが乗っ取られ、その署名は”Algerian Hacker”(アルジェリアのハッカー) MCA-CRBとなっていた。Webサイト汚し屋の常習犯だ。情報をくれた読者によると、上の図のような画面が1時間以上続いた。でも、さっき(米国時間11/27深夜)、こうやってスクリーンショットが取れたぐらいだから、被害は続いている。サイト本体はすでに取り下げられているようだけど。この記事を書いている今も、この画面のままだ。

Softpediaによると、Yahooのルーマニアサイトyahoo.roもやられたらしいが、今私が見たかぎりではYahooは無事だ。Paypal.roもGoogle.roと同じページへリダイレクトされるが、もう一つのhttps://www.paypal.com/ro/の方は無事だ。

ハック画面のテキストは“By MCA-CRB / Algerian Hacker”とあり、三つの名前と“all members Sec”がある。たぶんAnonymousやLulzSecを名乗る多くの流動的なグループの一つではないか。ページには、“S thanks = Mr-AdeL & i-Hmx & Lagripe-Dz All Members Sec”、とクレジットが書かれている。

さらにその下には、“To Be Continued ….”という脅し文句もある。

しかし単なるこけおどしではないようで、Zone-hのハックされたサイトのレジストリによるとMCA-DRBは、これまで5530のサイトをハックし汚損している。とりわけ多いのが、アジア、アフリカ、ヨーロッパ、オーストラリア、それにアメリカの、政府機関や公共サービスのサイトだ。対してZone-hの情報では、Ebozの被害は313サイトとなっている。これには先週末の284サイトは含まれていない(後述)。

しかし、同じGoogle.roでも無事な経路はある。本誌の常連ライターDrew Olanoffが送って寄越したスクリーンショットは、カリフォルニアの彼のコンピュータからGoogle.roにアクセスしたものだが、いつもどおりの画面だ:

また、今週パキスタンで起きたEbozと名乗るハッカーによる284のサイトの乗っ取りと汚損の場合とは、手口が違う。EbozはパキスタンのドメインレジストリPKNICに侵入し、被害にあったドメインネームサーバのすべてが、Freehostiaがホスティングしているサーバへリダイレクトされた。しかしGoogle.roに対する現在のチェックによると、Google以外の別のネームサーバへは行ってないという。

今Googleに問い合わせているので、情報が入り次第この記事をアップデートしよう。

では、アップデートをお楽しみに!

アップデート: ウィルス対策ソフトKasperskyのラボにいるエキスパートStefan Tanaseが、Securelistに書いた記事によると、この事件は“DNSハイジャック”と呼ばれるタイプの犯行だ。彼によると、google.roとyahoo.roのどちらも、オランダにあるIPアドレス95.128.3.172(server1.joomlapartner.nl)へとリゾルブされているから、“どうやらDNS汚染攻撃のようだ”、ということ。

ありがとう、Marius Mさん。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))