8/18朝から19昼にかけて、tinyworld.ne.jp にアクセスすると第三者が運営するアダルトサイトに誘導されてしまっていました。
原因は私のプロバイダ設定ミスをついたイタズラ的な誘導でした。
設定ミスを修正し、順次改善します。お騒がせして申し訳ありません。
お知らせついでに、何がどうしてどうなったのかというとですね…
ここを覗いてくれている人なら遭遇してしまっているかもしれないですが、私が遭遇したのが昨日の朝。
通勤中になんの気なしにここを覗いてみると…なんだか知らないけど DM○のアダルトDVD販売サイトが表示されるじゃないですか。
なんだなんだと同じドメインで運用している他のサイトを見てもすべて同じ。
ウイルスかぁ?と思い、他のブラウザ、他の端末で見ても同じ。
他の人にも頼んで、DoCoMoやSOFTBANKの端末で見ても同じ…
ぐぐってみると、DNSポイズニングという「あったなぁそんな攻撃」に事象がぴったり。
プロバイダに事象報告をしつつ、自分でも調査開始。
どんな調査をするかというと、DNS問い合わせを順繰りに手動で実施して、どこでDNSキャッシュが改竄されているかをつきとめる訳です。
- ルートDNSの確認
http://www.internic.net/zones/named.root
を確認して、まず問い合わせるルートDNS(.)を確認します。 - ルートDNSへの問い合わせ
以下を実行して、JPドメイン(.jp)の管理サーバを確認します。
# dig @ルートDNS tinyword.ne.jp A - JPドメイン管理DNSへの問い合わせ
以下を実行して、自ドメイン(tinywrld.ne)の管理サーバを確認します。
# dig @JPドメインDNS tinyword.ne.jp A - 自ドメイン管理DNSへの問い合わせ
以下を実行して、自ドメインの返すIPアドレスを確認します。
# dig @自ドメイン管理DNS tinyword.ne.jp A
応答内容が、改竄されたIPアドレスだと確認。ここが感染源だ!ということで。 - 自ドメイン管理DNSの管理者を確認
http://www.nic.ad.jp/ja/whois/ja-gateway.html
上記でIPアドレスを元に管理者を確認。
使っているプロバイダだったので「そりゃだだっぴろくキャッシュ感染もするわな…」と思いつつ、プロバイダに改善を依頼(←ここ、後述しますが勘違いでしたm(..)m)
ぐぐった結果、使っているプロバイダのDNSポイズニング対策が遅い、みたいなブログコメントがあったので、すっかりそう思い込んでいたら、プロバイダからの回答は全く想定していないものでした。
内容的には「自ドメイン管理DNSはあなたが登録してあるもののままですよ」という回答。
えぇぇ~?とばかりに知らされた画面から設定を確認すると、確かにそうなってました。
というか、その設定画面自体に覚えがない。。。
要は、
なが~く契約している中で設定画面が整備されてて、その間にした引越しによるIPアドレス変更が反映できていなかった
という事でした。その状態だったので、たぶん、昔使っていたIPを使うことになった人が、
なんかDNSの通信あるけどうざいなぁ、迷惑がえしにイタズラしちゃえ
としたんじゃないかと思います。
同じプロバイダ内での契約移動なんだから合わせて設定も変えて欲しいなぁとか、設定画面が整備されたならそれ以降内容確認していなければ注意を促して欲しいなぁとか
迷惑かけたのは申し訳ないけどもうちょっと可愛げあるイタズラにして欲しかったぁ
とか色々思いはありますが、自分のミスが発端ではあるんで、素直にゴメンナサイということで。
まあ、周りに顛末を話したところ
「日本合法のサイトだっただけ可愛いイタズラじゃん?」
っと。確かに非合法サイトだったり、トラウマになりかねないグロ画像だったりしたら、それこそしゃれにならんですな。
※ そこまで行ったら訴えますが(苦笑
なにはともあれ、一番は見に来ていただいている方々に「申し訳ありませんでした」という感じですm(..)m
