A1-6 ドメイン乗っ取られた！！

Copyright Ⓒ2020 Coincheck Inc. All Rights Reserved.
ドメイン乗っ取られた！！
コインチェック株式会社
サイバーセキュリティ推進部長
喜屋武慶大
1

全体像
1. 概要
2. 発覚までの経緯
3. 初動対応
4. ２日目以降の対応
5. 後日譚
6. 振り返り
2

自己紹介
喜屋武慶大
コインチェック株式会社
サイバーセキュリティ推進部長
3
セキュリティベンダの SOC（Security Operation Center）でセキュリティア
ナリストとしてセキュリティ機器やサーバーのログからサイバー攻撃を分析
する業務に従事。
2018年8月にコインチェック株式会社に転職。セキュリティ監視の設計、実装、
運用及びサービスの設計、実装、運用のレビューなどを主にやりつつインシ
デント対応もやっていたりします。

1. 概要
2020年6月に発覚したコインチェック株式会社におけるドメイン名
ハイジャックのインシデント時の対応についてお話します。
4

2. 発覚の経緯について
5

きっかけは SRE の一言から
6

確認してみるとレスポンスタイムが異常に遅延
している
7

確認してみるとレスポンスタイムが異常に遅延
している
8

この時点では、ネームサーバーが書き換えられて
いるなんて思いもしなかった
9

SRE チームが調査に乗り出したが、アプリケーシ
ョン、サーバー、ロードバランサーに問題は見つ
からず
夕方頃になって他部署のエンジニアやユーザーか
らもレスポンスが遅いという連絡が入ってきたた
め Slack の障害用チャンネルで周知
10

18時頃から SRE チームの中にもレスポンスの遅延が確認できるメンバ
ーが出てきた
人によって遅延の有無が変わるため経路がおかしいのではと調査した
ところ何故かオランダを経由
11

名前解決の結果を確認するとアムステルダムの CloudFront(AWS) の IP
が返ってきている
12

Copyright Ⓒ2020 Coincheck Inc. All Rights Reserved. 13
AWS Trusted Advisor でも異常を確認

AWS のチケットを起票してサポートに調査を依頼
ここから AWS のサポートとのやりとりが始まる
14
発生している事象としてはレスポンスの遅延でいいですか？
直近でどういった変更を加えましたか？
DNS がおかしいというのはどういう点からですか？

2.発覚までの経緯
これ DNS 本当に正しいか確認してもらえますか？
これ AWS じゃないです、めちゃくちゃ怪しいですね

これ DNS 本当に正しいか確認してもらえますか？
これ AWS じゃないです、めちゃくちゃ怪しいですね
ネームサーバー改竄発覚
この後 AWS の方は終日対応に付き合ってくださいました

正しいNSレコード
ns-1515.awsdns-61.org
ns-1985.awsdns-56.co.uk
ns-650.awsdns-17.net
ns-405.awsdns-50.com

正しいNSレコード
ns-405.awsdns-50.com
改竄後のNSレコード

3. 初動対応
3. 初動対応

1. 副社長とシステム担当の執行役員にエスカレー
ション
2. レジストラにログインを試みる
3. レジストラのサポートにコンタクトをとる
4. 原因調査
5. 緊急事態対策本部の立ち上げ
6. 影響範囲の調査
20
3. 初動対応
初動対応としてやったこと

3. 初動対応
3.1 . 副社長とシステム担当の執行役員にエスカレーション
● これは緊急事態だと判断してすぐにエスカレーション
● システム担当の執行役員がすぐに Zoom に参加
● システム担当執行役員が指揮を取ることに
● そのまま Zoom でインシデント対応

3. 初動対応
システム担当役員の最初の反応
（3秒固まって）...えぇっ！？
（後日本人談）
ちょっと重めのシステム障害かなと思って Zoom に
入ったら「ネームサーバー書き換えられてます」と
言われて何言ってるのか一瞬分からなかった
WHOISがやられてネームサーバーが書き換えられています

3. 初動対応
3.2 . レジストラにログインを試みる
ID とパスワードが一致しません
パスワード再発行を試みるも
「メールアドレスが不正です」

3. 初動対応
WHOIS を確認するとなぜか 5月30日 15時11分(UTC) に更新されている

3. 初動対応
3.3 . レジストラのサポートにコンタクトを取る
もう19時過ぎてるし最悪明日
になるな
イメージです

3. 初動対応
3.4 . 原因調査
アカウントが乗っ取られた？
マルウェアに感染している？
セッションハイジャッ
クか？
レジストラの脆弱性？
パスワードクラック？

3. 初動対応
3.4 . 原因調査（マルウェア感染の可能性）
特にエンドポイントのアラート
は上がってない
不審なアクティビティもなし
端末への侵害の可能性
は低いと判断

3. 初動対応
3.4 . 原因調査（アカウント乗っ取りの可能性）
不審なSSOのログや各SaaSへの
ログイン履歴なし
社内アカウント乗っ取り
の可能性も低いと判断

3. 初動対応
3.4 . 原因調査（パスワードクラック）
管理しているアカウントのパスワー
ドを確認してもらったが、ランダム
な文字列でそれなりの長さ
総当たりやリスト型で破
ることは現実的に不可能
使い回しも無し

3. 初動対応
3.4 . 原因調査（セッションハイジャック）
レジストラのアカウントにアク
セス可能な社員の通信ログを確
認したが直近でレジストラへの
アクセスは無し
セッションハイジャ
ックは無し
フィッシングも無し
ヒアリングしたが直近で
レジストラにログインし
た覚えもなし

3. 初動対応
3.4 . 原因調査（レジストラの脆弱性）
レジストラに脆弱性があった場合大
規模なキャンペーンが展開されて当
社以外にも被害が出るのでは？
今のところ当社以外にもやられ
たという情報はない

3. 初動対応
3.4 . 原因調査（レジストラの脆弱性）
レジストラに脆弱性があった場合大
規模なキャンペーンが展開されて当
社以外にも被害が出るのでは？
今のところ当社以外にもやられ
たという情報はない
結果的にはコレだった

3. 初動対応
ネームサーバー戻りました
調査の間にシステム担当執行役員から社長へエスカレーション

3. 初動対応
緊急事態対策本部設置！
3.5 . 緊急事態対策本部設置
ネームサーバーは元に戻ったが...
● まだアカウント乗っ取りの原因が不明
● 原因が不明なのでまた書き換えられるかもしれない
● 影響範囲も未知数
● ユーザーへの影響も無いとは言い切れない

3. 初動対応
変な MX レコードが登録さ
れています

3. 初動対応
攻撃者は MX レコードを書き換えて何をしようとしたのか？
● TXT レコードが改竄されていた形跡はない
● つまり coincheck.com を送信元として偽の
メールをばら撒こうとした訳ではない
● となると他には・・・

3. 初動対応
日付変わって夜中の 1 時 30 分頃にいったん解散
自分と SRE 1名が監視のため残ることに

3. 初動対応
攻撃者は MX レコードを書き換えて何をしようとしたのか？
全社員のメールをチェックすると・・・

3. 初動対応

3. 初動対応
● GitHubのアカウントを持つ全社員に
https://github.com/settings/security-log を確認してもら
って身に覚えのない操作履歴がないか確認（成功無
し）
● それ以外の全ての外部サービスでも同様のことが起き
てないか確認
● 通知系のメールを全て停止

攻撃の全体像
41
ドメインレジストラ
正NameServer
MX
NameServer設定

攻撃の全体像
42
ドメインレジストラ
正NameServer
偽NameServer
MX
MX
偽MailServerNameServer書き換え
× ×

4. 2日目以降の対応

● 朝、昼、夕方に定期ミーティング実施
● その他必要に応じて臨時召集
● コロナ禍でリモートワーク状態だったので Zoom の
常設部屋を設置
● 代わりに使用するドメインの策定、当局や関連団
体への報告、関連作業や原因調査の進捗報告
会社全体として見ると２日目が一番忙しかった

指揮官（システム担当の執行役員）が Zoom に常駐
作業で詰まったこと、相談、緊急で報告が
必要なことが発生した場合はとりあえず
Zoom に入って報告

メールに使用する代わりのドメイン名策定の経緯
● 当初は support.coincheck.com というサブドメインを新
たに設定して使用する予定だった
● support.coincheck.com のレコードを設定し関連するシ
ステムの設定も変更してアナウンス準備
● ところが・・・
4. ２日目以降の体制

まだ攻撃者のネームサーバーを
参照しているキャッシュサーバ
ーがあった場合に被害が出てし
まう可能性があったためドメイ
ン自体を変えることに
最終的には coincheck.jp に切り替
えを実施

２日目夜にプレスリリース第一弾発表
プレスリリースと同時に新しいアドレスへ問い合わせるよう案内
を出さないと攻撃を受けた coincheck.com 宛にメールを出してしま
うユーザーが出る可能性があったため、メールアドレスの設定変
更作業が終わるのを待って発表

３日目
４日目
● 最終プレスリリース発表
● 停止していたサービスの一部機能を再開
● レジストラより問題を修正した連絡を受領

６月１日（月）
ドメイン名ハイジャック発覚及び復旧
緊急事態対策本部設置
６月２日（火）
メールアドレス変更作業実施
プレスリリース第一弾発表
６月３日（水）
ドメインレジストラより問題を修正した連絡を受ける
６月４日（木）
プレスリリース最終報発表
止めていた一部サービスを再開

5. 後日譚
5. 後日譚

5. 後日譚
● 社内で利用している外部サービスで特に Coincheck
サービスの運用に関わっていたり重要な情報を取
り扱うサービスについて SSO や２要素認証の運用
が徹底されているかチェック
● 権限管理についても不必要に高い権限を持ってい
る人がいないか等の権限の管理、認可の条件が適
切かも再度確認

6. 振り返り
6. 振り返り

6. 振り返り
我々が今回のインシデントの気づくことができたのはモニタリングをやって
いたおかげ

6. 振り返り
モニタリング項目
● レスポンスタイム（サイト/API 間）
● リクエスト数
● 各サーバー毎のメモリとCPUの使用率
● エラー率
● トラフィック量
● Queue に溜まっている Job の数
etc...
モニタリングのおかげで今回のインシデントに気づけた

日本コンピュータセキュリティインシデント対応チーム協議会のサイトよりレジ
ストラのCSIRTチーム連絡先を調べ、CSIRT にも協力を依頼
https://www.nca.gr.jp/member/index.html
6. 振り返り

レジストラの CSIRT にも連絡した結果として早急に対応してもらうことができた
5/31(日) 0:05 NSレコード書き換え
6/1(月) 19:10 NSレコード改竄発覚
6/1(月) 19:36 ドメインレジストラへ協力依頼
6/1(月) 20:52 NSレコード復旧
連絡を取ってから 1 時間半程で復旧と迅速に対応してもらえた
6. 振り返り

原因究明チーム影響範囲調査チーム
情報システム部門
セキュリティ部門
SRE
被害原因の調査影響範囲の調査
アドバイザーA アドバイザーB
２名のセキュリティアドバイザーの協力のもと迅速に初動の
対応ができた
6. 振り返り

偽NameServer 偽MailServer
テイクダウンの依頼
コンタクトJPCERT/CC に不正なネームサーバー
及びメールサーバーのテイクダウ
ンを依頼しました
6. 振り返り

受けた攻撃に対して被害が小さかったのは
• レジストラの対応が早かった
• アドバイザーの協力もあって原因と被害範囲の
調査が迅速に進んだ
• JPCERT/CCに協力していただいてテイクダウン
したことにより事後への影響を抑えることがで
きた
様々な組織の方に協力していただきました
60
6. 振り返り

● 酷似したドメイン名をネームサーバーに設定されてし
まうインシデントは恐らく世界初
● MFA!MFA!
GitHubが無事だったのはMFAを設定していたおかげな
のでMFAはやっておくべき
● DNS はとても重要、皆さんも是非レジストラや権威サ
ーバーに使っている DNS 関連サービスのアカウント管
理やレコードの監視を実施しましょう！
6. 振り返り

A1-6 ドメイン乗っ取られた！！

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to A1-6 ドメイン乗っ取られた！！

Similar to A1-6 ドメイン乗っ取られた！！ (20)

More from JPAAWG (Japan Anti-Abuse Working Group)

More from JPAAWG (Japan Anti-Abuse Working Group) (20)

A1-6 ドメイン乗っ取られた！！