RSAC 2019:DNS操作による大規模窃取

2019年4月10日

RSA Conference 2019で、SANS Instituteは、非常に危険性が高いと見られる新しい数種類の攻撃について報告しました。この記事では、その1つに焦点を当てます。

SANS Instituteでインストラクターを務めるエド・スコーディス(Ed Skoudis)氏は、企業のITインフラの完全乗っ取りに利用される可能性のある攻撃を取り上げました。それも、複雑なツールを使うのではなく、DNS(ドメインネームシステム)を少し操作するだけという内容です。

企業のDNSインフラを操る仕組み

攻撃の仕組みは次のとおりです。

  1. ログイン情報が流出したアカウントの情報(ユーザー名とパスワード)を、サイバー犯罪者が何らかの手段で収集します。このようなアカウントは、Collection #1のような既知のデータベースにあるものだけでも数億に上ります。
  2. サイバー犯罪者は、こうして手に入れた認証情報を使って、DNSプロバイダーやドメインレジストラのサービスにログインします。
  3. 次に、DNSレコードを編集して、企業のドメインインフラャを犯罪者自身のものに置き換えます。
  4. また、MXレコードを書き換え、企業宛のメールがすべて犯罪者自身のメールサーバーに転送されるようにしてメッセ―ジを傍受します。
  5. 窃取したドメインのTLS証明書を登録します。この時点ですでに、サイバー犯罪者は企業宛のメールを傍受できる状態なので、ドメイン所有者である証拠を提供可能です。TLS証明書を発行してもらうには、ほとんどの場合、この証拠を提示できれば十分です。

サイバー犯罪者はこのようにして、狙った企業のサーバー宛てのトラフィックを、自分のマシンへ転送できるようになります。このため、この企業のWebサイトにアクセスした人は偽のWebサイトへ連れて行かれます。しかし、どのようなフィルターや保護システムを通しても、このWebサイトは本物にしか見えません。当社がこの攻撃を初めて観測したのは2016年のことです。Kaspersky Labのグローバル調査分析チーム(GReAT)のブラジル担当リサーチャーたちが、侵入者による大手銀行のインフラの乗っ取り(英語記事)を可能にする攻撃を発見しました。

この攻撃で何が特に危険かというと、被害を受けた組織が外部との連絡手段を失うことです。一般的に、メールだけでなく電話も乗っ取られます(企業の大多数がIP電話を使っているため)。したがって、インシデントに対する社内の対応も、外部組織(DNSプロバイダー、認証局、司法当局など)とのコミュニケーションも、大いに難しくなります。このようなことが、ブラジルの銀行のケースのように週末に起きたら、どうなることか想像に難くありません。

DNSの操作によるITインフラの乗っ取りを防ぐには

2016年にはサイバー犯罪世界のイノベーションだった手口も、数年後にはありふれたものとなりました。2018年までの間に、多数の大手企業のITセキュリティエキスパートたちは、このタイプの攻撃を記録しています。つまり、これは実体のない脅威ではなく、ITインフラを掌握するために利用される可能性のある、非常に具体的な攻撃なのです。

エド・スコーディス氏は、DNSインフラを操作しようという企てに対し、次のような防御策をとるべきだとしています。

  • ITインフラ管理ツールでは、多要素認証を使用する。
  • DNSSECを使用し、DNS署名だけでなく、DNS認証も必ず適用すること。
  • 自社のドメイン名に影響する可能性のあるDNS変更を、すべて記録する。1か月に最高50件のリクエストを記録できる無料ツール、SecurityTrailsを使うのも1つの手段です。
  • 自社ドメインを使う余分な証明書の状況を把握し、ただちに失効処理をリクエストする。その方法については、過去の記事(余分な証明書を悪用した、ドメインへの中間者攻撃とDoS攻撃)をご覧ください。

Kaspersky Labからも1つ付け加えるならば、独創的で複雑なパスワードの使用もお勧めします。