2013年8月下旬、米日刊紙「New York Times」やマイクロブログサイト「Twitter」などが攻撃を受け、サイト閲覧に障害が発生しました。これらの攻撃において、インターネット上の名前解決システムである「Domain Name System(DNS)」が攻撃されたことがわかっています。この攻撃の原因となった問題は、ドメイン名登録機関「レジストラ」である「Melbourne IT」の再販業者の認証情報が乗っ取られたことです。
攻撃者は正規の認証情報を利用し、攻撃対象の各組織のドメインを含むネームサーバの環境設定情報を攻撃者自らのインフラに変更しました。DNSは、正常に処理を継続し、キャッシュの有効期限が切れると DNS応答内の正しいデータを新たな「偽」データに置き換えたため、正規Webサイトの閲覧に障害が発生しました。障害の原因は、DNSのシステム自体や脆弱性が攻撃されたわけではなく、特定のレジストラへの攻撃によりDNSの登録内容が改ざんされてしまったことでした。DNSのシステム自体は、設計および仕様通りに機能していましたが、内容が改ざんされてしまっていたので結果的に障害が発生したわけです。このレジストラへの攻撃は「Syrian Electronic Army(SEA、シリア電子軍)」によって行われたことを示唆する証拠があるものの、捜査はいまだ継続しています。
このような攻撃が発生した場合、狙われた各組織が攻撃の影響を受けないようにするためには、あるいは、軽減するためにそれぞれどのような対策がまずは必要だったのでしょうか。
「DNSSEC」の導入:「DNSSEC」は、電子署名を用いて DNSサーバからの回答が正しいものであることを証明するセキュリティ拡張機能のことで、攻撃者が対象ドメインの「DNSSEC」環境設定ファイルを変更するのに十分な認証情報を収集していない場合に有効です。そうでない場合、攻撃者は、「DNSSEC」環境設定ファイルの置き換えや削除を行い、攻撃を継続することが可能になります。
「ドメイン移管ロック」の導入:「ドメイン移管ロック」は、意図しないドメインの移管を防ぐ機能で、これもまた、万が一収集された認証情報がロック機能を無効できなかった場合、ドメインの変更を防ぐことが出来ます。一部の「Twitter」のユーティリティ内ドメイン情報が変更されていたのに対し、「twitter.com」には変更がされなかった事実がこの事例を表しています。なおレジストラによって、「ドメイン移管ロック」サービスは、追加料金が発生することがあります。
ドメインの監視:注目を浴びるドメインを保有する各組織にとっては、常に有効な対策方法です。ネームサーバといった構成要素は、徐々に変更する傾向があるので、いかなる変更も警戒の対象にすることができます。数多くの民間の監視サービスから選択することもできますし、小規模のシェルスクリプトの使用を検討することもできます。ただしトレンドマイクロでは、今回の事件に関係した各組織がこういった監視を実施していたかどうかの情報は、確認していません。今回の事件を防ぐことはできなかったかもしれませんが、復旧の時間を短縮することは期待できます。
セキュリティに対する姿勢に基づく慎重なベンダの選択:これは、現時点の実施は困難です。なぜならセキュリティに対し消極的なベンダは、その事実を公表しません。そして、セキュリティに対し強固な姿勢を持ったベンダは、優れたセキュリティ運営をするため、インフラの詳細を共有することを嫌がります。これは攻撃者たちに、ベンダのセキュリティに関する情報を渡さないためです。
今回の攻撃から一つ学べることがあります。熱心な攻撃者たちは、侵入を果たすために対象の取引相手やその関係、ベンダ、顧客の一番弱い部分を探ることに余念がないということです。
参考記事:
「NYT/Twitter Hacks Show DNS Is Not Broken, But Domain Registrars Might Be」
by Ben April (Senior Threat Researcher)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)
