4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した（NjallaのPeter Sunde氏のツイート、dark.failによる警告、dark.failを所有するdark.fail氏のツイート、TechNadu、VICE）。

被害を受けたのはdark[.]failとdarknetlive[.]com。
dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。

両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。

Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。
https://twitter.com/brokep/status/1389314362561777665

1. 4月28日、Tucowsがドイツ・ノルトライン＝ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。
令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。

2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報（移管用のコードと思われる）を返信する。

3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。

4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。

偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order（箝口令）が添付されており、リセラーであるNjallaには一切の通知が無かった。

この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。

----
もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。

情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 法廷 | 海賊行為 | インターネット |

関連ストーリー：
perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 2021年02月02日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
ルーターのDNSを乗っ取り、COVID-19感染情報と称してダウンロードさせるマルウェア 2020年03月27日
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 2020年03月07日
ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 2016年04月11日
ネットのドメインの85%は乗っ取り攻撃から逃れられない 2006年04月29日

すべて読む | ITセクション | 広告 | インターネット | IT | プライバシ |

関連ストーリー：
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Vivaldi 3.6、グループ化したタブを2段目のタブバーに表示する機能を追加 2021年01月30日
Vivaldiの最新Snapshotにメールクライアント機能が搭載される 2020年11月27日
Vivaldi 3.4、オフラインでプレイ可能なゲーム「Vivaldia」を搭載 2020年10月17日
デスクトップ版Vivaldi 3.3、休憩モードが利用可能に 2020年09月10日
WebブラウザVivaldi、関西弁ネイティブスピーカー・ボランティア翻訳者を募集 2019年11月21日
Vivaidiのシェア、IE6に迫る 2018年11月09日
Vivaldi 1.14、リーダービューで縦書き表示をサポート 2018年02月03日
WebブラウザーVivaldi、月間500万人のユーザーを獲得すれば利益を上げられる 2016年04月19日
Webブラウザ Vivaldi、正式版となる 1.0 がリリースされる 2016年04月08日
Prestoエンジン搭載のOpera 12、2年ぶりにアップデートがリリースされる 2016年02月18日
ウェブブラウザ「Vivaldi」のベータ版が公開される 2015年11月04日

各メディアの報道によると、大手ゼネコンの鹿島建設の海外子会社がサイバー攻撃を受けて、取引先の情報といった機密情報が流出した可能性があるという。鹿島建設本体は28日にメディア向けにコメントを出しているようだが、今のところリリースは出していない（NHK、読売新聞、日経新聞）。

メディアの報道によれば、REvil（レビル）と呼ばれる犯罪グループにより、ダークウェブ上に取引先の収支計画書などが公開されているという。NHKによれば、大手テーマパークの運営会社との秘密保持契約書のほか、労働契約書、それにメールや取引先のリストなどが含まれているとしている。

このREvilは鹿島建設の情報を130万件盗んだと書き込んでおり、5月1日までに身代金を支払わないと売却するとの内容の犯行声明を出している模様。鹿島建設側は情報などの詳細を「当局の捜査に協力中」として明らかにしていないとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | インターネット | 情報漏洩 |

関連ストーリー：
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
北朝鮮、韓国に対して1日150万件ものサイバー攻撃を実施との報道 2021年02月02日
カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる 2020年12月21日

すべて読む | ITセクション | カナダ | 変なモノ | インターネット | IT |

関連ストーリー：
冷戦時代のコロナ偵察衛星によるデータを用いた生物多様性調査 2020年05月27日
Unicode Emoji 13.0発表、62の絵文字が追加される 2020年02月03日
長寿を実現するためのDNA修復能力の高い5つのアミノ酸が同定される 2019年04月27日
研究者が自宅で爆発事故死。大量の薬物があったことからアパートを丸ごと爆破処理へ 2018年03月23日
ビーバーが作ったダム、フーバーダムの長さを超える 2010年05月07日

すべて読む | ITセクション | サイエンス | インターネット | 宇宙 | IT |

関連ストーリー：
JAXAの「SS-520」、世界最小の軌道ロケットとしてギネス世界記録に認定 2018年05月01日
JAXA、超小型衛星「TRICOM-1R」を搭載した小型ロケット「SS-520」5号機の打ち上げに成功 2018年02月07日
超小型衛星専用ロケット「Electron」、打ち上げ成功 2018年01月24日
JAXA、クリスマスに小型ロケット「SS-520」5号機打ち上げへ 2017年11月22日
中国の宇宙ベンチャー、再使用小型ロケット「New Line 1」を発表 2017年09月22日
JAXAが世界最小のロケットを使った超小型衛星打ち上げを発表 2016年06月14日
中国が新型ロケット「快舟」2回目の打上げに成功 2014年11月26日
IHIが低価格小型衛星事業に参入。イプシロンで打ち上げ 2013年11月19日

各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。

既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた（ZDNet）。

なお、Emotetの感染拡大防止にあたっては海外の「Cryptolaemus」と日本の「ばらまきメール回収の会」という有志のグループが大きく貢献しており、後者についてはNHKが13日付でその活動を詳しく報じて讃えている（NHKニュース）。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | インターネット |

関連ストーリー：
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
セキュリティ上の問題が発生したドイツの大学、電子メールアカウント38,000件のパスワードを手渡しで再発行 2019年12月22日

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー：
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
Intel、Atom系の新世代CPUコア「Tremont」のマイクロアーキテクチャを発表 2019年10月30日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日
サポート終了済のPHP 5系に5.6.40がリリースされる 2019年01月12日

すべて読む | ITセクション | インターネット | ゲーム | IT |

関連ストーリー：
Razer、ゲーマーの集中力と反応速度を維持し、味も長持ちするというチューインガムを発表 2020年09月11日
中国政府、ブロガーやeスポーツを大学卒業生の職業として正確にカウントするよう通達 2020年07月11日
中東の王族を名乗るゲーム内コンテンツの大量購入を続ける「廃課金」アカウントの正体は 2020年06月02日
F1、中止になった数戦に代わりeSportsによる「バーチャルF1」を開催 2020年03月23日
「タイピングeスポーツ」をうたうキーボードタイピング競技大会 2018年12月04日
アジア大会のeスポーツ競技で日本選手が金メダルを獲得 2018年09月11日
全米15州の高校でビデオゲームが高校行事に取り入れられる 2018年04月24日
賭博の対象となる対戦型オンラインゲーム、八百長も 2015年02月12日

すべて読む | ITセクション | インターネット | IT |

関連ストーリー：
IPA、ブラウザの通知機能を悪用する手口が増加と警告。安易に通知を許可しないよう求める 2021年03月16日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
Reddit民が団結してマイナー株を爆上げ、ヘッジファンドの空売り勢に大損害。公聴会まで開かれる 2021年02月23日
東京ガス運営の「ふろ恋 私だけの入浴執事」で不正アクセス、約1万人分のメールアドレスが流出 2021年02月01日
総務省、「2回目の特別定額給付金」を騙ったメールに注意喚起 2020年10月21日
文科省が高校生向けに設置したサイト、利用にはベネッセのIDが必須であることに対し懸念の声 2020年01月17日
NTTドコモを騙るフィッシングSMSが多発、d払いの不正利用被害多数も補償制度なく、被害届も出せず 2019年08月01日
JWordプラグイン、2019年7月31日をもってサービス終了へ 2019年07月02日