4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した（NjallaのPeter Sunde氏のツイート、dark.failによる警告、dark.failを所有するdark.fail氏のツイート、TechNadu、VICE）。

被害を受けたのはdark[.]failとdarknetlive[.]com。
dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。

両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。

Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。
https://twitter.com/brokep/status/1389314362561777665

1. 4月28日、Tucowsがドイツ・ノルトライン＝ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。
令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。

2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報（移管用のコードと思われる）を返信する。

3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。

4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。

偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order（箝口令）が添付されており、リセラーであるNjallaには一切の通知が無かった。

この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。

----
もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。

情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 法廷 | 海賊行為 | インターネット |

関連ストーリー：
perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 2021年02月02日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
ルーターのDNSを乗っ取り、COVID-19感染情報と称してダウンロードさせるマルウェア 2020年03月27日
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 2020年03月07日
ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 2016年04月11日
ネットのドメインの85%は乗っ取り攻撃から逃れられない 2006年04月29日