関連する一連の攻撃で、ハッカーはDNSレコードを偽造して、ログイン資格情報やその他の機密情報を盗むように設計された偽のWebサイトにユーザーを接続します。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
Tripwire、FireEye、Mandiantなどの主要なサイバーセキュリティ企業の専門家は、世界中でDNSハイジャック攻撃が非常に多く発生していることを報告しています。これらの攻撃は、中東、ヨーロッパ、北アフリカ、および北米の政府、通信、およびインターネット企業を標的としています。
研究者は、標的となるサイトを公に特定していませんが、侵害/危害を受けたドメインの数は数十あることを認めています。少なくとも2017年以来発生しているこれらの攻撃は、以前に盗まれた資格情報と組み合わせて使用され、ログイン資格情報やその他の機密情報を盗むように設計された偽のWebサイトにユーザーを誘導します。
これらの攻撃の実行者を名乗り出る者はいませんが、多くの専門家は攻撃がイランから発していると考えています。攻撃者のIPアドレスの多くがイランを起源としています。攻撃者がイランのIPになりすまして痕跡を残している可能性はありますが、攻撃の標的もイランを指示しているように見えます。標的には、中東のいくつかの国の政府サイトが含まれます。これらのサイトには、金銭的な価値はありませんが、イラン政府にとって非常に価値のあるデータが含まれています。
いくつかの異なる攻撃戦略が実行されていますが、攻撃の流れは次のとおりです
* Domain Name System(DNS)とは、いわばインターネットの「電話帳」です。ユーザーがブラウザに「google.com」などのURLを入力すると、DNSサーバー上のそのレコードは、そのユーザーをGoogleの配信元サーバーへ誘導します。それらのDNSレコードが改ざんされた場合、ユーザーは予期しない場所に到達することになります。
個々のユーザーには、これらの種類の攻撃で資格情報を失うことから自分を保護するためにできることは多くありません。ダミーサイトを作成するときに攻撃者が十分に徹底している場合、高度な技術を持つユーザーであっても違いを見つけることは非常に困難です。
これらの攻撃を軽減する1つの方法は、DNSプロバイダーが認証を強化し、二要素認証 (2FA)を要求するなどの手段を講じることです。これにより、攻撃者がDNS管理パネルにアクセスすることが劇的に難しくなります。ブラウザはセキュリティルールを更新することもできます。たとえば、TLS証明書のソースを精査して、使用されているドメインに準拠するソースからのものであることを確認します。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集
ラーニングセンターナビゲーション