マレーシア航空DNSハイジャック事件:「404 — 機体が見つかりません」
2015年1月、Lizard Squadはmalaysiaairlines.comのDNSをハイジャックし、航空会社のサイトをタキシードを着たトカゲの画像と「404 — 機体が見つかりません」という皮肉な見出しに差し替えた。サーバーは一切侵害されていない――攻撃者はドメインの向き先を変えただけだった。DNSがいかに航空会社にとって最も無防備な玄関口になったかを、Domain Maydayが深掘りする。
- domains
- security
- dns
- domain-security
機体は今も見つかっていない。2015年1月、ウェブサイトもまた消えていた。
2015年1月26日の朝、ブラウザに malaysiaairlines.com と入力した人は、航空会社のサイトには辿り着けなかった。彼らが辿り着いたのはハッカーのページだった。見慣れた予約画面は跡形もなく消え、代わりにシルクハットとモノクルをつけたトカゲの画像と、一行の残酷な見出しが表示された。「404 — 機体が見つかりません」。その下には、「Lizard Squad によるハック — オフィシャル・サイバー・カリフェイト」。ブラウザのタイトルバーにはただ、*「ISIS will prevail(ISISは必ず勝つ)」*と記されていた。
これは墓場に向けたジョークだった。それより一年も経っていない以前、マレーシア航空370便が239名の乗客乗員を乗せてレーダーから消えていた。その4ヶ月後には、17便がウクライナ上空で撃墜された。今度は10代の若者グループが、同社の哀しみそのものを嘲弄の道具に変え、サーバーには一切触れることなく、航空会社自身の玄関口に貼り付けて全世界に晒したのだ。
最後の一文がすべてを物語っている。マレーシア航空は、多くの人がイメージするような「ハッキング」被害を受けたわけではなかった。予約システムは無傷のままだった。乗客データにも手は加えられていなかった。攻撃者が奪ったのは、もっと根本的なもの――そして実は、はるかに容易に奪えるもの――だった。それが ドメイン名そのもの、つまりインターネット全体に「マレーシア航空はここにある」と伝える住所だった。
これは、意識の外にあったインフラの一部が、突然別の場所を指し示したときに何が起きるかを語るDomain Maydayのケーススタディである。
航空会社にとってドメインとは何か
グローバルキャリアにとって、ウェブサイトはパンフレットではない。それはレジカウンターであり、チェックインカウンターであり、コールセンターでもある。そのすべてが一本の文字列に紐づいている――malaysiaairlines.com だ。
すべての予約、すべてのマイレージログイン、すべての確認メールに埋め込まれた「フライトを管理する」リンクは、このドメインを経由して解決される。クアラルンプールかロンドンにいる乗客がこのアドレスを入力すると、見えない連鎖が動き出す。ブラウザがドメインネームシステム(DNS)に「malaysiaairlines.com はどこにある?」と問い合わせ、DNSがIPアドレスで答え、ブラウザが接続する。航空会社のブランド、収益、そして顧客の信頼は、そのたった一回の問い合わせが正しい答えを返すことに懸かっている。
DNSはインターネットのアドレス帳だ。同時に、ほとんどの組織にとって、建物の中で最も見張られていない扉でもある。サーバーの堅牢化に数百万ドルを注ぎ込み、データベースを暗号化し、フィッシング対策の研修を徹底したとしても、アドレス帳の中の「この名前はどこを指す」という一行を誰かにそっと書き換えられれば、そのすべては無意味だ。アドレスを書き換えられれば、会社ごと書き換えられる――建物には一切侵入せずに。
まさにそれが起きた。
ハイジャック:航空会社のいた場所に現れたトカゲ

改ざんは最大限の残酷さを持って設計されていた。フォーマルウェアを着たトカゲの画像はLizard Squadの名刺代わりだった。このグループは前年12月にXbox LiveとSony PlayStation Networkをオフラインに落とし、年末年始のホリデーシーズンを台無しにした実績を持つ。1月に入るとグループは「サイバー・カリフェイト」のイメージに自らを包み込み、ISIS支持を装い始めたが、研究者たちはその主張を深く疑っていた。
訪問者が目にしたサイトは、シルクハットとモノクルをつけたトカゲの画像と「404-Plane Not Found」という文字を表示していた。Wikipediaに記録されたグループの記事も同じ場面を伝えている。ユーザーはタキシードを着たトカゲの画像が掲げられた別のページにリダイレクトされ、そのページには「404 - Plane Not Found」という見出しが掲げられ、前年に同航空会社が失ったMH370便への明らかな言及だった。
この残酷さこそが目的だった。MH370は2014年3月8日にレーダーから消え、239名全員が最終的に死亡と推定され、機体の残骸も決定的な形では発見されていない。MH17は2014年7月17日にロシアが支援する勢力によってブク9M38地対空ミサイルで撃墜され、乗客乗員298名全員が命を落とした。「機体が見つかりません」というメッセージを同社のホームページに刻み込むことは、その航空会社が経験した最悪の一年を武器に変え、サイトに辿り着こうとしたすべての顧客に向けて放送することを意味していた。
そして脅迫が続いた。グループは「まもなくwww.malaysiaairlines.comのサーバーで見つけた戦利品を公開する」とツイートし、乗客の旅程表が写っているとされるスクリーンショットまで投稿した。すでに惨禍の一年を耐えてきた航空会社にとって、顧客データが流出しているかもしれないという観測それ自体が、また別の災難だった。
何が起きたのか:建物ではなく、アドレス帳

これが事件の技術的核心であり、このケースがサーバー侵害のシリーズではなくドメインセキュリティのシリーズに属する理由だ。
マレーシア航空自身の声明は、報道全体を通じて繰り返し引用され、その区別を明確に示していた。マレーシア航空は、ドメインネームシステム(DNS)が侵害され、www.malaysiaairlines.comのURLを入力するとハッカーのウェブサイトにリダイレクトされることを確認する。同社は、ウェブサイト自体はハッキングされておらず、この一時的な障害は予約に影響を与えず、ユーザーデータは安全に保護されていると断言し、ウェブサーバーは無傷であると付け加えた。
両方とも事実だった。サイトは破壊された、そしてサーバーは無事だった。攻撃者にサーバーは必要なかった。The Registerが書いたように、サイトのDNSレコードが改ざんされ、閲覧者はハッカーが管理するサイトにリダイレクトされていた。彼らはアドレス帳の記載を変えただけで、それが指し示す建物には手をつけていない。悪意はメタデータにも記録されていた。当時のWhois検索では、サイトのタイトルとして「ISIS will prevail」が登録されていた。
では、そのアドレス帳はどこに保管されていたのか。レジストラにだ。同社のドメインはWeb Commerce Communications Limited――通称Webnic――(シンガポール、マレーシア、中国に拠点を置く)に登録されていたとみられる。この名前が重要なのは、Webnicがまもなく悪名高い存在となるからだ。
一ヶ月後、同じレジストラがはるかに大規模な事件の中心に立つことになる。Brian Krebsが報告したように、攻撃者はマレーシアのレジストラWebnic.ccを掌握し、同社は対象の両ドメインを含む60万件のドメインを管理していた。さらにWebnic.ccへのアクセスを利用して、DNSレコードを改ざんしたのが**LenovoとGoogle Vietnam**だった。Krebsによれば、その手口はWebnic.ccのコマンドインジェクション脆弱性を利用してルートキットをアップロードするというもので、数十万のドメインがどこを指すかを管理するシステムへの永続的なアクセスを手にしたことになる。
Googleに侵入しなくても google.com.vn をリダイレクトできる。航空会社に侵入しなくても、そのホームページをリダイレクトできる。必要なのは、「このドメインはどこにあるか」という問いへの答えを持っているレイヤー――レジストラアカウントとその背後にあるDNSレコード――を侵害することだけだ。そのレイヤーは、ほとんどの企業が実際に守っているセキュリティ境界の外に存在している。
影響と対応
同社にとってのダメージは、データ盗難よりもブランドと業務上のものだった。予約やチェックインをしようとした顧客は改ざんページに行き着いた。世界中の見出しが「マレーシア航空」と「ハッキング」を並べた――すでに危機に瀕していたブランドが、今度は行方不明の機体を嘲弄するトカゲと結びつけられたのだ。
同社がDNSハイジャックへの唯一の対処法として動いたのは、侵害されたレイヤーを通じて対応することだった。同社はサービスプロバイダーと連携して問題を解決したとし、システムは22時間以内に完全に復旧する見込みであると述べた。この復旧時間はDNSの特性を如実に示している。レコードを修正した後でも、誤った答えは世界中のキャッシュに残り、TTLが切れるまで消えない。ハイジャックは素早く実行でき、完全に元に戻すには時間がかかる。
データ公開の脅しについては、同社は予約に影響なし・ユーザーデータは安全という立場を貫いた。グループが豪語した壊滅的な情報漏洩は、結局、公言された形では実現しなかった。しかし「私たちは本当には侵害されていない。攻撃者が私たちの公開上の全アイデンティティを1日近く支配していただけだ」というメッセージを旅行者に伝えるのは難しい。「404 — 機体が見つかりません」を見つめる顧客にとって、サーバー侵害とDNSハイジャックの違いは見えない。サイトが航空会社だった。そして1日間、そのサイトは別の誰かのものだった。
DNS が玄関口であることから学べること
マレーシア航空のハイジャック事件は、従来の意味では何も侵害されていなかったからこそ、教科書的な教訓となる。ここから得られる洞察は、ほぼすべてのオンライン組織に一般化できる。
-
あなたのドメインは、あなただけではコントロールできない単一障害点だ。 レジストラが、あなたの名前がどこを指すかのマスターレコードを持っている。レジストラのアカウントセキュリティ――あるいはそのソフトウェア――に欠陥があれば、あなたが完璧に堅牢化したサーバーは意味を失う。Webnicはそれを1ヶ月以内に2回、航空会社とGoogleおよびLenovoで証明した。
-
DNSハイジャックにはあなたへの侵害は不要だ。 攻撃者はアドレス帳を書き換えただけで、建物には手をつけていない。サーバー、コード、ネットワークを監視する防御策は、命名レイヤーだけで完結する攻撃を見逃しうる。
-
ドメインを移動できるレコードをロックせよ。 レジストリロックおよびレジストラレベルのロックは、まさにDNSやネームサーバーレコードへの不正変更を阻止するために存在する――ドメインの向き先を変えるためには、手動かつ帯域外のステップが必要になる。高価値ドメインにとって、これはオプションではない。
-
レジストラでのDNSSECと2FAを活用せよ。 レジストラアカウントへの強力な認証とDNSSEC署名を組み合わせれば、マレーシア航空を改ざんしたような静かなレコード差し替えのコストを大幅に引き上げられる。
-
復旧は攻撃より遅い。 TTLとグローバルキャッシュにより、ハイジャックは修正後も生き続ける。パッチだけでなく、クリーンアップの時間窓を計画に含めること。
不快な結論を一言で言えば、ほとんどの企業は建物を守り、玄関ドアにはどの建物に入るかを全員に知らせる付箋を貼ったままにしている。その付箋を書き換えられれば、会社ごと移転させられる。
Namefiの視点

マレーシア航空のハイジャック事件は、その核心において、名前の向き先を変える権限を誰が持つか――そしてその権限がレジストラのレイヤーでいかに容易に静かに奪われうるか――という問いだ。この攻撃は暗号技術を破ったわけでも、データベースをクラックしたわけでもない。破られたのは、ドメインに関する最も重要な事実――どこへ解決されるか――を決定する、アカウントベースのソフトなコントロールプレーンだった。
Namefiは、ドメインの所有権とコントロールが、レジストラのデータベースの一項目――侵害された一つのアカウントで書き換えられてしまうような――ではなく、検証可能なインターネットネイティブアセットとして振る舞うべきだという考えのもとに構築されている。トークン化された所有権は、「このドメインを誰がコントロールしているか、そのコントロールはたった今移転したか」という問いを監査可能かつ改ざん証跡が残る形にする――DNSとの互換性を保ちながら。ハイジャックへの防衛策は、強固なパスワードだけではない。不正な変更を静かに行われるものから可視かつ証明可能なものへと変えることだ。
マレーシア航空はサーバーを失わなかった。失ったのは、「この名前はどこを指すか」というたった一つの問いへの答えを――約1日間。機体は今も見つかっていない。ウェブサイトもまた、失われるべきではなかった。Domain Maydayの教訓は、アドレス帳がセキュリティ境界の一部であり、それを忘れた日にシルクハットをかぶったトカゲがあなたの玄関に居座るということだ。
出典と参考資料
- TechCrunch — Malaysia Airlines Site Hacked By Lizard Squad
- The Register — Lizard Squad threatens Malaysia Airlines with data dump
- BankInfoSecurity — Malaysia Airlines Website Hacked
- Computerworld — Malaysia Airlines claim DNS hijacked, site not hacked, but attackers threaten data dump
- Infosecurity Magazine — Malaysia Airlines Site Back Up as Hackers Threaten Data Dump
- Krebs on Security — Webnic Registrar Blamed for Hijack of Lenovo, Google Domains
- Help Net Security — Lenovo.com hijacking made possible by compromise of Webnic registrar
- ABC News — Malaysia Airlines Hit by Lizard Squad Hack Attack
- NBC News — Lizard Squad Claims It Hacked Malaysia Airlines Website
- IT Security Guru — Lizard Squad hijacks Malaysia Airline DNS
- Wikipedia — Lizard Squad
- Wikipedia — Malaysia Airlines Flight 370
- Wikipedia — Malaysia Airlines Flight 17
著者について
関連ガイド
- 12ドルの1分間:誰かがひっそりとGoogle.comを購入した日2015年9月、元Google社員がGoogle Domainsを通じてgoogle.comを12ドルで購入し、世界で最も価値あるドメインの管理権を約1分間保持した。Sanmay Vedと6,006.13ドルのバウンティ、そして「1分間の所有」が明かすドメイン支配の実態。
- ドメイン危機録 EP03:2020年Twitterビットコインアカウント乗っ取り事件2020年7月15日、攻撃者は電話一本でTwitterに侵入し、オバマ、バイデン、マスク、ゲイツ、Apple、Uberの認証済みアカウントを乗っ取り、ビットコイン2倍詐欺を実行——約11万8,000ドルを詐取した。オンライン上のアイデンティティがいかにして奪われたか、そして「名前を所有する」ことの意味を深く掘り下げる。
- ドメイン緊急事態 EP05:2024年Squarespace DeFiドメイン大量乗っ取り事件2024年7月、Google DomainsからSquarespaceへのレジストラ移行が、デフォルト認証の脆弱性を大規模な攻撃面に変えた。攻撃者はCompound Finance、Celer Network、Pendle、Unstoppable Domainsなど暗号資産・DeFiプロジェクトのドメインを乗っ取り、ウォレットドレイナー型フィッシングサイトに誘導した。「シームレス」な移行がいかにして数百の無施錠の玄関を生み出したか、そしてレジストラセキュリティとMFAについて何を教えてくれるかを解説する。
- BadgerDAOフロントエンド攻撃:1本の注入スクリプトで1億2000万ドルが流出2021年12月、攻撃者はBadgerDAOのCloudflareアカウントを侵害し、ウェブサイトのフロントエンドに悪意あるスクリプトを1本注入した。監査済みのスマートコントラクトには一切手を触れていないにもかかわらず、ユーザーが知らぬまま署名したウォレット承認を通じて約1億2000万ドルが奪われた。ウェブサイトもセキュリティの攻撃面であることを深掘りする。