ドメイン乗っ取りの恐怖

『Security Affairs』

December 8, 2016 08:00
by 『Security Affairs』

The Morphus Labsは、新たな深刻な脅威について警告を発した。Renato Marinho氏とVictor Pasknel氏は、情報セキュリティ戦略を完全に無意味にし得るドメイン乗っ取りのインシデントを扱った。彼らは、インシデントへの対処法や同様のシナリオを防ぐ方法について詳細な情報を本記事に提供してくれた。

1 はじめに

土曜日の朝、大企業のCSO(最高セキュリティ責任者)であるあなたは、様々な送信元からのメッセージを受信した。その中に、あなたの会社のインターネットアドレス全てが、ウェブサイトを偽造しようというアクセスを受けていることを知らせる情報があった。偽のセキュリティモジュールやアップデートという形で悪意のあるコンテンツを提供するウェブサイトだ。

一見サイト改ざんのようなこの攻撃は、もっと悪質なものであることが判明する。詳しく調べてみると、サイバー犯罪者の仕業であることが判明した。実際には、会社のドメイン全体が乗っ取られ、全てのアドレスが偽のウェブサイトになっていた。このウェブサイトは、あなたの顧客から情報を盗み取り、悪意のあるコードを拡散する目的のものだ。

この記事では、上述のシナリオへのインシデント対応や、全ての戦略とセキュリティ投資を無意味にすることができるこの脅威を、簡単に緩和する方法について説明する。

2 ドメインネームシステム(DNS)の基本

発生したインシデントへの理解を深めるためには、DNSの概念を理解することが重要だ。この方面の知識があるなら、セクション3に飛んでほしい。

DNSは「Domain Name System(ドメインネームシステム)」の略で、インターネットの基盤として機能する。我々が普段、ウェブサイトやインターネットサービスに到達するのに使用するアドレス名は全て、IP(インターネットプロトコル)アドレスに変換されなければならない。インターネットのアドレス名とIPアドレスの変換(解決)処理がDNSサーバーの主な役割である。

DNSサーバーは、あるドメインの解決リクエストが、そのドメインの名前解決を担う正当なサーバーへと送られる際に、階層的な手法を用いる。この階層のルート(根)は、全てのインターネットアドレスの最後に付く見えないドメイン、ドット(「 . 」)である。これは世界中のさまざまな場所に配置されたDNSサーバーのグループが管理している。このルートDNSサーバーは、「.com」のようなトップレベルドメイン(TLD)を管理するDNSサーバーのIPアドレスを知っている。そして「.com」のDNSサーバーは、「yourdomain.com」等の あなたの会社のドメイン名を管理するDNSサーバーのIPアドレスを把握している。

例えば誰かが「www.yourdomain.com.」を要求したら、このリクエストはルートサーバー(「 . 」)に届き、「.com」のサーバーに届く。それからあなたの会社のDNSサーバーに届き、最終的にアドレス「www」を解決して正しいIPアドレスを返す。

TLDは、ネットワーク情報センター(NIC)とも呼ばれるレジストリオペレーターが操作・管理する。レジストリオペレーターは、彼らが責任を持つドメイン内のドメイン名登録を管理する役割を担う。つまり「.com」のレジストリオペレーターは、「yourcompany.com」のようなドメインのIPアドレスの解決を担当するDNS サーバーのIPアドレスの設定を維持する組織なのだ。

3 ドメイン乗っ取り

何らかのレジストリオペレーターにドメインを登録もしくは管理する人は、ウェブポータルであらかじめアカウント(基本的にはユーザーネームとパスワード)を作成しなければならない。このアカウントは、ウェブサイトやメールサーバーのIPアドレスを指すDNSサーバーのIPアドレスの管理に使用されることになる。

ポータルオペレーターへのアクセス認証が「極めて繊細な情報であること」に注意しなければならない。悪意のある何者かがこのような情報を手に入れたら、DNSサーバーのIPアドレスを含むドメインの設定を変更することができるだろう。要するに、あなたの会社のインターネットドメインを乗っ取り、ウェブサイトやメールを好きなアドレスに向けさせることができるのだ。

我々Morphus Labsで対処したインシデントでは、まさにこれが起こった。攻撃者がレジストリオペレーターの認証情報を盗み出し、プライマリDNSサーバーとセカンダリDNSサーバーを指す設定を犯罪者のものに変更した。その後、その企業の顧客は全員、偽の企業ウェブサイトに飛ばされ、偽のコンテンツによって悪意のあるコンテンツをダウンロードするよう勧められた。犯罪者がマルウェアの拡散を成功させるための戦略がどのようなものかわかるだろう。

言うまでもなく、犯人はポータルへのアクセスに成功した後パスワードを変更している。言い換えると、彼らはドメインを乗っ取り、レジストリオペレーターをリカバリーしないかぎり使えないようにしたのだ。「手動の」アカウントリカバリーは一般的に容易ではなく、時間もかかる。

4 インシデントレスポンス

大部分のサイバーインシデントとは違い、この状況から回復するためには、バックアップや設定のリカバリといったインフラそのものに対してできることはほぼない。このインシデントで起こったことのように、全てのサーバーは無傷なのだ。
 
記事全文:https://www.linkedin.com/pulse/domain-hijacking-invisible-destructive-threat-we-should-marinho
 
翻訳:編集部
原文:Domain Hijacking – An Invisible and Destructive Threat We Should Watch For
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…