2013年8月下旬、米日刊紙「New York Times」やマイクロブログサイト「Twitter」などが攻撃を受け、サイト閲覧に障害が発生しました。これらの攻撃において、インターネット上の名前解決システムである「Domain Name System(DNS)」が攻撃されたことがわかっています。この攻撃の原因となった問題は、ドメイン名登録機関「レジストラ」である「Melbourne IT」の再販業者の認証情報が乗っ取られたことです。
攻撃者は正規の認証情報を利用し、攻撃対象の各組織のドメインを含むネームサーバの環境設定情報を攻撃者自らのインフラに変更しました。DNSは、正常に処理を継続し、キャッシュの有効期限が切れると DNS応答内の正しいデータを新たな「偽」データに置き換えたため、正規Webサイトの閲覧に障害が発生しました。障害の原因は、DNSのシステム自体や脆弱性が攻撃されたわけではなく、特定のレジストラへの攻撃によりDNSの登録内容が改ざんされてしまったことでした。DNSのシステム自体は、設計および仕様通りに機能していましたが、内容が改ざんされてしまっていたので結果的に障害が発生したわけです。このレジストラへの攻撃は「Syrian Electronic Army(SEA、シリア電子軍)」によって行われたことを示唆する証拠があるものの、捜査はいまだ継続しています。
このような攻撃が発生した場合、狙われた各組織が攻撃の影響を受けないようにするためには、あるいは、軽減するためにそれぞれどのような対策がまずは必要だったのでしょうか。
今回の攻撃から一つ学べることがあります。熱心な攻撃者たちは、侵入を果たすために対象の取引相手やその関係、ベンダ、顧客の一番弱い部分を探ることに余念がないということです。
参考記事:
by Ben April (Senior Threat Researcher)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)