Twitter などが(自称)シリア電子軍の攻撃を受ける ― 2013年08月28日
今朝、Twitter の調子が悪くなった、という報告がちらほらありました。どうやら、シリア電子軍を名乗るグループが Twitter などの DNS を乗っ取った模様です。その件についての報道やツイートを時間順にまとめてみました。
以下、時刻表記は日本時間です。
2013-08-28 05:07 AM
Is it just me, or is http://t.co/K8g4o9SWFX down?
— matt blaze (@mattblaze) August 27, 2013
2013-08-28 05:18 AM
NYTimes DNS is compromised. Pointing to Syrian Electronic Army domain. http://t.co/wfJugHQ155 pic.twitter.com/Vhf35kuQAP
— Matt Johansen (@mattjay) August 27, 2013
2013-08-28 05:23 AM
The New York Times Web site is experiencing technical difficulties. We are working on fully restoring the site.
— The New York Times (@nytimes) August 27, 2013
NYTimes のウェブサイトに問題がある、とのツイート。
2013-08-28 05:33 AM
Syrian Electronic Army now hosting new domains on their IP. Domains belong to @NyTimes and @Twitter. pic.twitter.com/htv6TLAxJv
— Jaeson Schultz (@jaesonschultz) August 27, 2013
2013-08-28 05:55 AM
Hi @Twitter, look at your domain, its owned by #SEA :) http://t.co/ZMfpo1t3oG pic.twitter.com/ck7brWtUhK
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
2013-08-28 06:41 AM
Media is going down.... | http://t.co/Gd1zB70v0g | http://t.co/8NUe7Cs2jm | http://t.co/QDdNdEuuVX | http://t.co/W9nmxo95PQ
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
nytimes.com と http://huffingtonpost.co.uk も陥落した。
2013-08-28 06:55 AM
DNS 運用についてのメーリングリストに投稿が。
[dns-operations] Request To Clear Cache: NYTimes.com
ニュヨークタイムズのドメイン NYTimes.com がおかしなサイトに向けられてしまった。みんなのキャッシュサーバーをクリアしてくれないか?
なお、このメールは怪しい。変更された直後にキャッシュクリアするのは逆効果だ、という話があります。
NYTimes. com の人がDNSキャッシュクリアしてくれ! と言ってたのはレジストラへの攻撃によるものだったのか https://t.co/X7ggH6uhwM
— dais (@hdais) August 28, 2013
.@hdais そのメール、アヤシイですよね(本物かどうかという意味で)。確かにNYtimes .comがやられている状態でNYtimes .comなメールは出しにくいなどの事情は理解できますけど。
— Yasuhiro Morishita (@OrangeMorishita) August 28, 2013
@OrangeMorishita 確かに、NSレコード変更攻撃直後だったらクリアするのはむしろ逆効果ですね
— dais (@hdais) August 28, 2013
@hdais そうですね。その話は社内でも話しました。outages MLで騒ぎになった後で出たので、さすがに直後でもなかったようですが。
— Yasuhiro Morishita (@OrangeMorishita) August 28, 2013
2013-08-28 07:59 AM
Twitter からアナウンスが Twitter の公式ブログに出ます
2013-08-28 08:07 AM
nytco.com: Times Site Is Disrupted in Attack by Hackers
nytimes.com: Times Site Is Disrupted in Attack by Hackers
NYTimes からの状況を説明する声明記事が出ます。nytimes.com に問題があるので、nytco.com ドメインにて。レジストラであるオーストラリアの Melbourne IT が攻撃されたとあります。
Times website affected by external hacking attack http://t.co/ZsF4yKXmsj
— The New York Times (@nytimes) August 27, 2013
記事についての NYTimes からのツイートもありましたが、その後消されています。
2013-08-28 08:12 AM
So, do we host http://t.co/70wmrzHCqp with Javascript code so all Twitter users will be redirect to our website? #SEA
— SyrianElectronicArmy (@Official_SEA16) August 27, 2013
twimg.com に Javascript 仕込んでおいたので、すべてのツイッターユーザーは我々のサイトにリダイレクトされるよ?
Twitter のアイコンなどがおかしくなってたのはこれが原因です。
2013-08-28 09:34 AM
syrianelectronicarmy[.]com now sinkholed by their registrar. Certainly not the end of the story, just the end of a name server name.
— Frank Denis (@jedisct1) August 28, 2013
2013-08-28 10:06 AM
Melbourne It confirms it was compromised today, Syrian Electronic Army claims responsibility - pic.twitter.com/g4q10ejdxb
— Matthew Keys (@MatthewKeysLive) August 28, 2013
Melbourne IT の reseller の credentials (ユーザー名とパスワード) が使われ、それによって、その reseller が管理するドメインが乗っ取られた、という Melborune IT からのメールのスクリーンショット。
2013-08-28 10:49 AM
Hackers had Melbourne IT reseller credentials to attack NYT, Twitter
No sophisticated attack was required to attack The New York Times and Twitter, as hackers already had valid credentials to allow them to change DNS entries.
Melbourne IT の reseller account が取られた、という記事です。
2013-08-28 11:09 AM
Twitter, NyTimes, HuffingtonPost hacked - Melbourne IT server breach http://t.co/8Nkch2pGsa @Official_SEA16 #Security #EHN #SEA
— E Hacking News (@EHackerNews) August 28, 2013
E Hacking News に攻撃は Melbourne IT のサーバーがやられたことによるもの、という記事 (Melbourne IT Server hacked - Twitter, Nytimes, HuffingtonPost affected)が出ます。シリア電子軍への exclusive インタビューを元にしているのこと。このツイートをシリア電子軍のアカウント自身が RT しているので、おそらくはその主張どおりなのでしょうか。
2013-08-28 11:19 AM
@tss_ontap いい感じに変なもん食ってるフルリゾルバが手元に居ました http://t.co/KbfUwU9e7z
— Yusuke MURAMATSU (@muranet) August 28, 2013
nytimes.com の DNS が書き換えられてしまった様子。
なお、この記事を書いてる時点で私の手元ではこうなってます。たぶん正常な状態?
;; ANSWER SECTION: nytimes.com. 300 IN NS dns.sea1.nytimes.com. nytimes.com. 300 IN NS dns.ewr1.nytimes.com. ;; ADDITIONAL SECTION: dns.ewr1.nytimes.com. 300 IN A 170.149.168.134 dns.sea1.nytimes.com. 300 IN A 170.149.173.133
IP アドレスは nytimes 所有のネットワークになってます。
その後
さらに関連するツイートはこちらにまとまってます:
2013-08-28 22:31PM 更新
Melbourne IT のサイトがハックされました。
コメント
トラックバック
このエントリのトラックバックURL: http://tkusano.asablo.jp/blog/2013/08/28/6961774/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※なお、送られたコメントはブログの管理者が確認するまで公開されません。
※投稿には管理者が設定した質問に答える必要があります。