ドメイン乗っ取りの恐怖

『Security Affairs』

December 8, 2016 08:00
by 『Security Affairs』

The Morphus Labsは、新たな深刻な脅威について警告を発した。Renato Marinho氏とVictor Pasknel氏は、情報セキュリティ戦略を完全に無意味にし得るドメイン乗っ取りのインシデントを扱った。彼らは、インシデントへの対処法や同様のシナリオを防ぐ方法について詳細な情報を本記事に提供してくれた。

1 はじめに

土曜日の朝、大企業のCSO(最高セキュリティ責任者)であるあなたは、様々な送信元からのメッセージを受信した。その中に、あなたの会社のインターネットアドレス全てが、ウェブサイトを偽造しようというアクセスを受けていることを知らせる情報があった。偽のセキュリティモジュールやアップデートという形で悪意のあるコンテンツを提供するウェブサイトだ。

一見サイト改ざんのようなこの攻撃は、もっと悪質なものであることが判明する。詳しく調べてみると、サイバー犯罪者の仕業であることが判明した。実際には、会社のドメイン全体が乗っ取られ、全てのアドレスが偽のウェブサイトになっていた。このウェブサイトは、あなたの顧客から情報を盗み取り、悪意のあるコードを拡散する目的のものだ。

この記事では、上述のシナリオへのインシデント対応や、全ての戦略とセキュリティ投資を無意味にすることができるこの脅威を、簡単に緩和する方法について説明する。

2 ドメインネームシステム(DNS)の基本

発生したインシデントへの理解を深めるためには、DNSの概念を理解することが重要だ。この方面の知識があるなら、セクション3に飛んでほしい。

DNSは「Domain Name System(ドメインネームシステム)」の略で、インターネットの基盤として機能する。我々が普段、ウェブサイトやインターネットサービスに到達するのに使用するアドレス名は全て、IP(インターネットプロトコル)アドレスに変換されなければならない。インターネットのアドレス名とIPアドレスの変換(解決)処理がDNSサーバーの主な役割である。

DNSサーバーは、あるドメインの解決リクエストが、そのドメインの名前解決を担う正当なサーバーへと送られる際に、階層的な手法を用いる。この階層のルート(根)は、全てのインターネットアドレスの最後に付く見えないドメイン、ドット(「 . 」)である。これは世界中のさまざまな場所に配置されたDNSサーバーのグループが管理している。このルートDNSサーバーは、「.com」のようなトップレベルドメイン(TLD)を管理するDNSサーバーのIPアドレスを知っている。そして「.com」のDNSサーバーは、「yourdomain.com」等の あなたの会社のドメイン名を管理するDNSサーバーのIPアドレスを把握している。

例えば誰かが「www.yourdomain.com.」を要求したら、このリクエストはルートサーバー(「 . 」)に届き、「.com」のサーバーに届く。それからあなたの会社のDNSサーバーに届き、最終的にアドレス「www」を解決して正しいIPアドレスを返す。

TLDは、ネットワーク情報センター(NIC)とも呼ばれるレジストリオペレーターが操作・管理する。レジストリオペレーターは、彼らが責任を持つドメイン内のドメイン名登録を管理する役割を担う。つまり「.com」のレジストリオペレーターは、「yourcompany.com」のようなドメインのIPアドレスの解決を担当するDNS サーバーのIPアドレスの設定を維持する組織なのだ。

3 ドメイン乗っ取り

何らかのレジストリオペレーターにドメインを登録もしくは管理する人は、ウェブポータルであらかじめアカウント(基本的にはユーザーネームとパスワード)を作成しなければならない。このアカウントは、ウェブサイトやメールサーバーのIPアドレスを指すDNSサーバーのIPアドレスの管理に使用されることになる。

ポータルオペレーターへのアクセス認証が「極めて繊細な情報であること」に注意しなければならない。悪意のある何者かがこのような情報を手に入れたら、DNSサーバーのIPアドレスを含むドメインの設定を変更することができるだろう。要するに、あなたの会社のインターネットドメインを乗っ取り、ウェブサイトやメールを好きなアドレスに向けさせることができるのだ。

我々Morphus Labsで対処したインシデントでは、まさにこれが起こった。攻撃者がレジストリオペレーターの認証情報を盗み出し、プライマリDNSサーバーとセカンダリDNSサーバーを指す設定を犯罪者のものに変更した。その後、その企業の顧客は全員、偽の企業ウェブサイトに飛ばされ、偽のコンテンツによって悪意のあるコンテンツをダウンロードするよう勧められた。犯罪者がマルウェアの拡散を成功させるための戦略がどのようなものかわかるだろう。

言うまでもなく、犯人はポータルへのアクセスに成功した後パスワードを変更している。言い換えると、彼らはドメインを乗っ取り、レジストリオペレーターをリカバリーしないかぎり使えないようにしたのだ。「手動の」アカウントリカバリーは一般的に容易ではなく、時間もかかる。

4 インシデントレスポンス

大部分のサイバーインシデントとは違い、この状況から回復するためには、バックアップや設定のリカバリといったインフラそのものに対してできることはほぼない。このインシデントで起こったことのように、全てのサーバーは無傷なのだ。
 
記事全文:https://www.linkedin.com/pulse/domain-hijacking-invisible-destructive-threat-we-should-marinho
 
翻訳:編集部
原文:Domain Hijacking – An Invisible and Destructive Threat We Should Watch For
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…