ドメイン乗っ取りの恐怖

『Security Affairs』

December 8, 2016 08:00
by 『Security Affairs』

The Morphus Labsは、新たな深刻な脅威について警告を発した。Renato Marinho氏とVictor Pasknel氏は、情報セキュリティ戦略を完全に無意味にし得るドメイン乗っ取りのインシデントを扱った。彼らは、インシデントへの対処法や同様のシナリオを防ぐ方法について詳細な情報を本記事に提供してくれた。

1 はじめに

土曜日の朝、大企業のCSO(最高セキュリティ責任者)であるあなたは、様々な送信元からのメッセージを受信した。その中に、あなたの会社のインターネットアドレス全てが、ウェブサイトを偽造しようというアクセスを受けていることを知らせる情報があった。偽のセキュリティモジュールやアップデートという形で悪意のあるコンテンツを提供するウェブサイトだ。

一見サイト改ざんのようなこの攻撃は、もっと悪質なものであることが判明する。詳しく調べてみると、サイバー犯罪者の仕業であることが判明した。実際には、会社のドメイン全体が乗っ取られ、全てのアドレスが偽のウェブサイトになっていた。このウェブサイトは、あなたの顧客から情報を盗み取り、悪意のあるコードを拡散する目的のものだ。

この記事では、上述のシナリオへのインシデント対応や、全ての戦略とセキュリティ投資を無意味にすることができるこの脅威を、簡単に緩和する方法について説明する。

2 ドメインネームシステム(DNS)の基本

発生したインシデントへの理解を深めるためには、DNSの概念を理解することが重要だ。この方面の知識があるなら、セクション3に飛んでほしい。

DNSは「Domain Name System(ドメインネームシステム)」の略で、インターネットの基盤として機能する。我々が普段、ウェブサイトやインターネットサービスに到達するのに使用するアドレス名は全て、IP(インターネットプロトコル)アドレスに変換されなければならない。インターネットのアドレス名とIPアドレスの変換(解決)処理がDNSサーバーの主な役割である。

DNSサーバーは、あるドメインの解決リクエストが、そのドメインの名前解決を担う正当なサーバーへと送られる際に、階層的な手法を用いる。この階層のルート(根)は、全てのインターネットアドレスの最後に付く見えないドメイン、ドット(「 . 」)である。これは世界中のさまざまな場所に配置されたDNSサーバーのグループが管理している。このルートDNSサーバーは、「.com」のようなトップレベルドメイン(TLD)を管理するDNSサーバーのIPアドレスを知っている。そして「.com」のDNSサーバーは、「yourdomain.com」等の あなたの会社のドメイン名を管理するDNSサーバーのIPアドレスを把握している。

例えば誰かが「www.yourdomain.com.」を要求したら、このリクエストはルートサーバー(「 . 」)に届き、「.com」のサーバーに届く。それからあなたの会社のDNSサーバーに届き、最終的にアドレス「www」を解決して正しいIPアドレスを返す。

TLDは、ネットワーク情報センター(NIC)とも呼ばれるレジストリオペレーターが操作・管理する。レジストリオペレーターは、彼らが責任を持つドメイン内のドメイン名登録を管理する役割を担う。つまり「.com」のレジストリオペレーターは、「yourcompany.com」のようなドメインのIPアドレスの解決を担当するDNS サーバーのIPアドレスの設定を維持する組織なのだ。

3 ドメイン乗っ取り

何らかのレジストリオペレーターにドメインを登録もしくは管理する人は、ウェブポータルであらかじめアカウント(基本的にはユーザーネームとパスワード)を作成しなければならない。このアカウントは、ウェブサイトやメールサーバーのIPアドレスを指すDNSサーバーのIPアドレスの管理に使用されることになる。

ポータルオペレーターへのアクセス認証が「極めて繊細な情報であること」に注意しなければならない。悪意のある何者かがこのような情報を手に入れたら、DNSサーバーのIPアドレスを含むドメインの設定を変更することができるだろう。要するに、あなたの会社のインターネットドメインを乗っ取り、ウェブサイトやメールを好きなアドレスに向けさせることができるのだ。

我々Morphus Labsで対処したインシデントでは、まさにこれが起こった。攻撃者がレジストリオペレーターの認証情報を盗み出し、プライマリDNSサーバーとセカンダリDNSサーバーを指す設定を犯罪者のものに変更した。その後、その企業の顧客は全員、偽の企業ウェブサイトに飛ばされ、偽のコンテンツによって悪意のあるコンテンツをダウンロードするよう勧められた。犯罪者がマルウェアの拡散を成功させるための戦略がどのようなものかわかるだろう。

言うまでもなく、犯人はポータルへのアクセスに成功した後パスワードを変更している。言い換えると、彼らはドメインを乗っ取り、レジストリオペレーターをリカバリーしないかぎり使えないようにしたのだ。「手動の」アカウントリカバリーは一般的に容易ではなく、時間もかかる。

4 インシデントレスポンス

大部分のサイバーインシデントとは違い、この状況から回復するためには、バックアップや設定のリカバリといったインフラそのものに対してできることはほぼない。このインシデントで起こったことのように、全てのサーバーは無傷なのだ。
 
記事全文:https://www.linkedin.com/pulse/domain-hijacking-invisible-destructive-threat-we-should-marinho
 
翻訳:編集部
原文:Domain Hijacking – An Invisible and Destructive Threat We Should Watch For
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…