Lenovo.com DNS ハイジャック事件:Lizard Squad がPC業界最大手の玄関を乗っ取った日
2015年2月25日、Lizard Squad はレジストラ Webnic を侵害して Lenovo.com をハイジャックし、世界最大のPCメーカーのドメインをウェブカム・スライドショーに差し替え、メールも傍受した。Superfish スキャンダルの直後に起きたこの事件は、レジストラこそが真のセキュリティ境界であることを示す Domain Mayday の深掘り事例だ。
- domains
- security
- dns
- domain-security
2015年2月25日の朝、世界最大のPCメーカーのドメインをクリックすると、ウェブカムを見つめる無表情な十代の若者たちのスライドショーが現れ、『ハイスクール・ミュージカル』の楽曲が流れていた。Lenovo のサーバーは一台も侵害されていなかった。Lenovo のパスワードは一つも盗まれていなかった。攻撃者はビルにも、ネットワークにも、ウェブサイト本体にも、一切触れていなかった。
攻撃者がやったのは、同社のドメインレジストラにある一つのレコードを変更することだけ。それだけで Lenovo の玄関を乗っ取り、メールを迂回させ、そのブランドを一日中笑いものにするには十分だった。
これが Domain Mayday EP17:Lenovo.com DNS ハイジャック事件だ。数字だけ見れば小さな出来事だ——数時間のダウンタイム、本番システムへの侵害なし、顧客データベースの流出なし。しかしこれは、多くの企業が今も間違え続けているある教訓を、かつてないほど鮮明に示した事例だ。すなわち、ドメインのセキュリティはそれを管理するレジストラの強度と等しく、そのレジストラはほぼ確実に自社のセキュリティプログラムの外に置かれているということだ。
企業の顔そのものであるドメイン
2015年時点で、Lenovo は世界最大のPCメーカーであり、世界で最も多くのノートPCとデスクトップPCを出荷していた。その規模の企業にとって、lenovo.com は単なるマーケティング資産ではない。事業全体の根幹だ。顧客が購入し、サポートチケットが集まり、保証登録が行われる場所であり、そして決定的に重要なのは、社内すべての @lenovo.com メールアドレスを支えるドメインでもある。
ブランドがその規模に達すると、ドメインはウェブサイトのアドレスであることをやめ、インフラそのものになる。すべてのプレスリリース、すべての製品パッケージ、すべての従業員の署名、すべての注文確認メールがそこを通る。つまり、ドメインの DNS を支配する者は、ウェブサイトだけでなく、lenovo.com がどこを指すかという「真実」そのものを——ブラウザとメールサーバーの両方にとって——握ることになる。
Lizard Squad が狙ったのはウェブサイトではない。それが指し示すポインタだった。
2015年2月25日:奇妙なリダイレクト

その日の午後から、lenovo.com にアクセスしても Lenovo のサイトには届かなかった。サイトはコンピューターの前に座る子どもたちのウェブカム写真のスライドショーに置き換えられており、みな虚ろな表情で、どこか居心地が悪そうで、すべて『ハイスクール・ミュージカル』の「Breaking Free」をBGMに流れていた。The Register も同じ光景を、通常の製品ページの代わりにつまらなそうな若者のウェブカム写真のスライドショーと表現した。
意図的に馬鹿げていた。そしてその馬鹿げた演出こそが狙いだった。これは秘密裏に行われるデータ窃取ではない。同社が所有する最も人目に触れるURLを舞台に演じられた、公開の屈辱だった。
犯人の手がかりは見え見えのところにあった。差し替えられたページのHTMLには、「新たに改良されリブランドされた」ビルドの制作者として Ryan King と Rory Andrew Godfrey の名前がクレジットされており、インターネット上の調査者たちはすぐにこれを Lizard Squad と結びつけた。前年のホリデーシーズンにPlayStation NetworkとXbox Liveをダウンさせた、あのグループだ。グループはTwitterで犯行を認め、ついでに『ハイスクール・ミュージカル』の歌詞をLenovoに向けて引用してみせた。
そして事態は、恥ずかしいでは済まない段階に進んだ。攻撃者は lenovo.com の DNS を支配していたため、ウェブサイトだけでなくメールも所有したことになる。ある報道によれば、このハイジャックによってリダイレクトが停止されるまでの間、Lenovo のメールを傍受できる状態になっていた。Lizard Squad はその後、制御を握っていた時間帯にLenovo の従業員に送られた2通のメールを公開した。そのうちの1通は、皮肉にも絶妙なタイミングで、顧客が Lenovo 純正の削除ツールを使って Superfish と呼ばれるソフトウェアを削除しようとした際に Lenovo Yoga ラップトップが文鎮化したというトラブルに言及していた。
その一文に、攻撃の動機のすべてが込められていた。
Superfish という背景
なぜ Lenovo が標的になったのかを理解するには、5日さかのぼる必要がある。
Superfish は、Lenovo が2014年9月からコンピューターの一部にバンドルしていたアドウェアだ。見た目はただの広告注入ソフトで、ブラウザに追加のショッピング広告を挿入するだけのものだった。しかし、その動作の仕組みは壊滅的な問題を抱えていた。暗号化されたページにも広告を挿入するために、Superfish は独自のルート証明書をインストールし、暗号化されたページにも広告を差し込めるようにしていた。つまり、HTTPSを守る南京錠を破壊していたのだ。
さらに悪いことに、この証明書はすべての機械で同じ秘密鍵を使用しており、その鍵は解読可能だった。鍵を取り出した攻撃者は、Superfish が動作しているすべての Lenovo ラップトップに対してあらゆる HTTPS サイトになりすますことができた。これは理論上の欠陥ではなかった。2015年2月20日、米国国土安全保障省はアンインストールを勧告し、ルート証明書の削除も求めた。
つまりわずか1週間の間に、企業向けにセキュリティと信頼を売りにしていたメーカーが、中間者攻撃の脆弱性を内蔵した数百万台のラップトップを出荷し、さらに自社の削除ツールが少なくとも1台の顧客マシンを文鎮化させるという事態が起きた。Lizard Squad のハイジャックは抗議行動として演出された——Superfish 騒動を受けた自業自得の報いとして。ウェブカムのスライドショーは演劇だった。メッセージはこうだ:お前たちは顧客の暗号を壊した。だから俺たちがお前たちの玄関を壊してやる。
どう起きたか:レジストラが弱点だった

ここからが、CISOを夜も眠れなくさせる部分だ:Lenovo 自身のインフラは一切侵害されていなかった。
攻撃者が向かったのはレジストラだった。セキュリティアナリストたちはハイジャックを Web Commerce Communications——通称 Webnic.cc、マレーシア拠点のレジストラ——の侵害に起因するものと特定した。Help Net Security によれば、ハッカーたちは Lenovo のサーバーを侵害したのではなく、Lenovo ドメインが登録されていたレジストラ Web Commerce Communications(Webnic.cc)のシステムを侵害したのだという。
Webnic にとってこれが最初の受難ではなかった。その2日前、Google のベトナムドメインが同じ手口でリダイレクトされていた。SecurityWeek はその関連を端的にまとめている:Lizard Squad はマレーシア拠点のレジストラ WebNIC のシステムに侵入した後、Google Vietnam と Lenovo の DNS レコードをハイジャックした。Brian Krebs は調査した研究者たちの報告を引用し、両ハイジャックともに攻撃者が Webnic.cc の制御を握ったことで可能になったと報じた——同報告によれば、Webnic は該当2ドメインのほか60万件のドメインを管理していた。
Krebs の報告から読み取れる攻撃の仕組みは、なぜレジストラが格好の標的になるかを示す教科書そのものだ:
- 侵入経路。 Lizard Squad は Webnic.cc のコマンドインジェクション脆弱性を悪用してルートキットをアップロードし、レジストラシステムへの永続的な隠れたアクセスを確保した。
- マスターキー。 さらにWebnic が保管する「認証コード」——あらゆるドメインを別のレジストラに移転できる EPP 転送シークレット——にもアクセスした。
- リダイレクト。 レジストラレベルの制御を得たことで、lenovo.com のネームサーバーレコードを変更した。The Register は、このドメインのネームサーバー設定が今日不審にも更新され、ウェブホスティング企業 CloudFlare のDNSサーバーを向くようになったと報じた——Cloudflare を使って真の送信先サーバーを隠蔽した形だ。
- メール傍受。 決定的なのは、ウェブサイトにとどまらなかったことだ。彼らはメールサーバーレコードを変更して、Lenovo アドレス宛てのメッセージを傍受できるようにした。DNS は
AレコードだけでなくMXレコードも制御する。ドメインを所有することはメールを所有することを意味した。
最後のポイントこそ、人々が忘れがちな点だ。ウェブサイトの改ざんは騒々しく、すぐに気づかれる。しかし、静かなメール傍受こそが DNS ハイジャックの危険な側面であり——それは同じ、レジストラ一箇所のレコード変更という単一の行為から生じる。
対応と事後処理
Lenovo は迅速に動いた。それ以外にできることがほとんどなかったからでもある——修正はレジストラ側にあり、自社サーバーにはなかった。同社は、lenovo.com へのトラフィックを迂回させる効果を持つサイバー攻撃の被害を受けたと確認し、2月25日の夕方までに公開ウェブサイトへの完全アクセスを回復したと見られる。Cloudflare は自社名がリダイレクト経路に使われていることを把握し、悪意あるネームサーバーへのサービスを停止した。これによってメール傍受も終了した。
より大きな後始末は Webnic の課題となった。1社のレジストラにおけるコマンドインジェクション脆弱性が、インターネット上で最も価値ある2つのドメイン——Lenovo のものと Google のプロパティ——を、48時間以内に愉快犯的なハッカー集団の手に渡してしまった。この事件はレジストラリスクの定番事例となり、「同じ侵害されたシステムの背後に60万件の他のドメインが存在した」という現実を改めて示した。
Lenovo にとって長期的な損害は評判面だった。Superfish の直後に起きたこのハイジャックは、深刻なセキュリティ失態を二幕構成の物語に変えた:まず同社は自社の顧客の信頼を裏切り、次に自社の名前のコントロールを公然と失った。人々が記憶しているのはウェブカムのスライドショーだが、本当に重要だったのはレジストラの侵害だ。
教訓:レジストラこそが真のセキュリティ境界
EP17 の不快な教訓は、Lenovo が自社でコントロールできる部分では多くのことを正しく行い、それでも自社がコントロールできない部分を通じてハイジャックされたということだ。
2015年を大きく超えて一般化できる教訓をいくつか挙げる:
- レジストラは、そう扱うかどうかにかかわらず、あなたの信頼境界の中にある。 自社のすべてのサーバーを堅牢化しても、おそらく一度もセキュリティレビューをしたことのない第三者でドメインを失う可能性がある。攻撃者は最も抵抗の少ない経路を取る——そしてレジストラはしばしば自社よりも脆弱だ。
- DNS の制御はメールの制御だ。 ハイジャックとは改ざんされたホームページだけではない。同じレコード変更が静かにメールを迂回させ、傍受を可能にし、ドメインに対するパスワードリセットやなりすましを可能にする。
MXレコードを配管ではなく、セキュリティクリティカルな資産として扱え。 - ロックできるものはロックせよ。 レジストラロック(registrar-lock /
clientTransferProhibited)、EPP/認証コードへのアクセス制限、高価値ドメインへのレジストリレベルのロックは、まさに未承認のネームサーバー変更や移転を防ぐために存在する。コストは安い。省略した場合の代償は、自社ブランドがウェブカムのスライドショーに使われることだ。 - DNSSEC はコストを上げる。 レジストラアカウントの乗っ取り単体を防ぐことはできないが、署名済みゾーンとDNS監視により、気づかれずに静かな改ざんを行うことは難しくなる。
- 自社の DNS のドリフトを監視せよ。 Lenovo のネームサーバーが予期しないプロバイダーに変更されたことが手がかりだった。NSレコードと MXレコードの継続的な監視により、「顧客がスライドショーを見て初めて気づいた」という状況を、「レコードが変更されたとき即座にアラートを受けた」に変えることができる。
共通のテーマ:ドメイン管理はそれ自体が独自のセキュリティドメインであり、多くの企業はそれを脅威モデルに登場しないベンダーにアウトソーシングしている。
Namefi の視点

Lenovo ハイジャック事件は、根本的にはコントロールと出所証明の問題だ。攻撃者は Lenovo になる必要などなかった。lenovo.com を管理するシステムに対して、別の場所を向けるよう「説得」さえすればよかった。誰が正当にドメインを制御しているかを示す、強力で独立した検証可能な記録は存在しなかった——あったのは、Lenovo の誰にも見えない脆弱性によって静かに乗っ取られ得るレジストラアカウント一つだけだ。
Namefi は、ドメインがインターネットネイティブな資産として振る舞い、検証可能で改ざん耐性のある所有権を持つべきだという考えのもとに構築されている。ドメインの制御が、回収可能な認証コードを持つ単一のレジストラアカウントではなく、監査可能で静かに上書きしにくい暗号的な所有権に錨付けされていれば——未承認のネームサーバー変更は、静かなバックエンドの編集ではなく、管理の連鎖における可視的かつ証明可能な断絶となる。トークン化された所有権はドメインを DNS と互換性を保ちつつ、「この名前を誰がコントロールしており、それは今変わったか?」という問いに対して検証可能な答えを持てるようにする。
Lizard Squad は所有権の連鎖の最も弱い環を突くことで、ある午後の間に大手ハードウェアメーカーの玄関を悪ふざけの舞台にしてしまった。防衛策はより目立つウェブサイトではない。名前の所有権そのものを、攻撃者が静かに偽造できないものにすることだ。
情報源と参考文献
- Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
- The Register — Oh No, Lenovo! Lizard Squad on the attack, flashes swiped emails
- Engadget — Lenovo's website hijacked, apparently by Lizard Squad
- SecurityWeek — Lizard Squad Hijacks Lenovo Website, Emails
- Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
- BankInfoSecurity — Lenovo Website Hijacked
- IT Security Guru — Lizard Squad domain hijack gives control of Google Vietnam and Lenovo website
- CNBC — Lenovo website breached, hacker group Lizard Squad claims responsibility
- We Live Security (ESET) — Lenovo website hacked, Lizard Squad claims responsibility
- Computing — Lenovo website hijacked by Lizard Squad after Superfish debacle
- Wikipedia — Superfish
- CISA — Lenovo Superfish Adware Vulnerable to HTTPS Spoofing
著者について
関連ガイド
- 12ドルの1分間:誰かがひっそりとGoogle.comを購入した日2015年9月、元Google社員がGoogle Domainsを通じてgoogle.comを12ドルで購入し、世界で最も価値あるドメインの管理権を約1分間保持した。Sanmay Vedと6,006.13ドルのバウンティ、そして「1分間の所有」が明かすドメイン支配の実態。
- ドメイン危機録 EP03:2020年Twitterビットコインアカウント乗っ取り事件2020年7月15日、攻撃者は電話一本でTwitterに侵入し、オバマ、バイデン、マスク、ゲイツ、Apple、Uberの認証済みアカウントを乗っ取り、ビットコイン2倍詐欺を実行——約11万8,000ドルを詐取した。オンライン上のアイデンティティがいかにして奪われたか、そして「名前を所有する」ことの意味を深く掘り下げる。
- ドメイン緊急事態 EP05:2024年Squarespace DeFiドメイン大量乗っ取り事件2024年7月、Google DomainsからSquarespaceへのレジストラ移行が、デフォルト認証の脆弱性を大規模な攻撃面に変えた。攻撃者はCompound Finance、Celer Network、Pendle、Unstoppable Domainsなど暗号資産・DeFiプロジェクトのドメインを乗っ取り、ウォレットドレイナー型フィッシングサイトに誘導した。「シームレス」な移行がいかにして数百の無施錠の玄関を生み出したか、そしてレジストラセキュリティとMFAについて何を教えてくれるかを解説する。
- BadgerDAOフロントエンド攻撃:1本の注入スクリプトで1億2000万ドルが流出2021年12月、攻撃者はBadgerDAOのCloudflareアカウントを侵害し、ウェブサイトのフロントエンドに悪意あるスクリプトを1本注入した。監査済みのスマートコントラクトには一切手を触れていないにもかかわらず、ユーザーが知らぬまま署名したウォレット承認を通じて約1億2000万ドルが奪われた。ウェブサイトもセキュリティの攻撃面であることを深掘りする。