Googleのドメイン登録サービス「Google Domains」から移管されたドメインが移管先の脆弱性によってハイジャックされてしまう

2024年7月、ウェブサイト構築・ホスティングサービスやドメイン登録サービスを提供するSquarespaceのドメインを標的として、組織的なドメインネームシステム(DNS)ハイジャック攻撃が行われました。主に仮想通貨ビジネスを標的とした今回の攻撃は、2023年にSquarespaceの買収によってGoogle Domainsから移管されたドメインに関連しているとのことです。
DNS hijacks target crypto platforms registered with Squarespace
https://www.bleepingcomputer.com/news/security/dns-hijacks-target-crypto-platforms-registered-with-squarespace/
Researchers: Weak Security Defaults Enabled Squarespace Domains Hijacks – Krebs on Security
https://krebsonsecurity.com/2024/07/researchers-weak-security-defaults-enabled-squarespace-domains-hijacks/
DNSハイジャック攻撃とは、攻撃者がターゲットのDNSレコードを変更して、正当なウェブサイトからフィッシングページなどの悪質なウェブサイトにリダイレクトする攻撃です。一般的にこれらの攻撃は、DNSサーバーあるいはターゲットが持つDNSサービスプロバイダーのアカウントを侵害することで実行されます。
2024年7月、ブロックチェーン技術を用いた金融サービスを提供する複数のDeFiプラットフォームが、自社のウェブサイトのドメインがフィッシングサイトにリダイレクトされるようになっていると警告しました。リダイレクトされるフィッシングサイトは、接続された仮想通貨ウォレットから仮想通貨やNFTを盗むように設計されていたとのこと。
DeFiプラットフォームのCompound Labsは7月11日のX(旧Twitter)への投稿で、メインドメインが乗っ取られたと報告してユーザーにアクセスしないよう呼びかけました。
🚨 URGENT: The Compound Labs website (compound[.]finance) has been compromised.
Please do not visit the website or clink any links until further notice. An update will be provided when available.
This is our final message // end of tweet. 🚨— Compound Labs (@compoundfinance) July 11, 2024
また、ブロックチェーンアプリのスケーリングソリューションを提供するCelerNetworkは、DNSハイジャックの標的になったものの、事前に察知してすべてのDNSレコードを回復させたと報告。
✅Thanks to our 24/7 domain security monitoring, an attempted takeover of Celer domains was successfully intercepted. All DNS records have been recovered. Our ongoing investigation indicates that the attack vector likely involved third parties beyond our control.
👁The Celer…— CelerNetwork (@CelerNetwork) July 11, 2024
トークンの利回りを取引するためのDeFiプロトコルであるPendleも同様の被害を受け、アドレスバーの確認やブラウザのキャッシュクリアなどの対策を呼びかけました。
The Pendle domain has been secured. Ensure that the address bar is showing https://t.co/bCUbPzydP2.
Rest assured the protocol itself remains unaffected, and funds are safe.
Important Notice
1. Double check that the address bar is showing https://t.co/bCUbPzydP2 and that you're…— Pendle (@pendle_fi) July 12, 2024
今回被害を受けた一連のドメインはすべて、Squarespaceという共通のレジストラを使用していました。レジストラとはユーザーからのドメイン登録申請を受け付けて、登録データをレジストリのデータベースに登録する機関です。
Squarespaceはもともとウェブサイト構築・ホスティングサービスを提供する企業でしたが、2023年にGoogleのドメイン登録サービスだったGoogle Domainsを買収しました。これにより、Google Domainsがホストしていた約1000万件ものドメインがSquarespaceに移行されることとなりました。
Googleがドメイン登録サービス「Google Domains」をSquarespaceに売却してユーザー丸ごと移管予定、既にドメインを購入しているユーザーはどうなるのか？ - GIGAZINE

ハッキングの正確な方法は不明ですが、専門家らはGoogle DomainsからSquarespaceへのドメイン移管に伴うアカウントの再作成手順に、セキュリティ上の問題があった可能性があると考えています。
ドメインがGoogle DomainsからSquarespaceへ移管されたユーザーは、Squarespaceで新たなアカウントを作成する際にGoogleやAppleのソーシャルサインアップオプションを使うか、メールアドレスを使用するかを選択できました。この際、ドメインと紐付けられたメールアドレスを選択してサインアップすると、パスワード認証なしでSquarespaceアカウントを作成できたとのこと。
ハッカーはこの脆弱(ぜいじゃく)性を悪用して、正式なドメイン所有者よりも早くSquarespaceのアカウントを作成し、ドメインを悪質なウェブサイトにリダイレクトした可能性が高いとみられています。
セキュリティ研究者のテイラー・モナハン氏は、Squarespaceでは一部のアクションについてのメール通知が届かず、ドメインの正当な所有者がSquarespaceアカウント上で何が行われているのか管理できなかったと指摘。「Googleが提供するコントロールに慣れていて、それをSquarespaceにも期待している人にとっては、これはまったくあり得ないものです」とモナハン氏は述べました。