グローバルなDNSハイジャックの脅威とは?
Tripwire、FireEye、Mandiantなどの主要なサイバーセキュリティ企業の専門家は、世界中でDNSハイジャック攻撃が非常に多く発生していることを報告しています。これらの攻撃は、中東、ヨーロッパ、北アフリカ、および北米の政府、通信、およびインターネット企業を標的としています。
研究者は、標的となるサイトを公に特定していませんが、侵害/危害を受けたドメインの数は数十あることを認めています。少なくとも2017年以来発生しているこれらの攻撃は、以前に盗まれた資格情報と組み合わせて使用され、ログイン資格情報やその他の機密情報を盗むように設計された偽のWebサイトにユーザーを誘導します。
これらの攻撃の実行者を名乗り出る者はいませんが、多くの専門家は攻撃がイランに発していると考えています。攻撃者のIPアドレスの多くがイランを起源としています。攻撃者がイランIPになりすまし痕跡を残している可能性はありますが、攻撃の標的はイランを指示しているように見えます。標的には、中東のいくつかの国の政府サイトが含まれます。これらのサイトには、金銭的価値はありませんが、イラン政府にとって非常に価値のあるデータが含まれています。
これらのDNSハイジャック攻撃はどのように機能しますか?
いくつかの異なる攻撃戦略が実行されていますが、攻撃の流れは次のとおりです
- 攻撃者は、標的とするサイトのように見えるように見えるダミーサイトを作成します。
- 攻撃者は、標的型攻撃(スピアフィッシングなど)を使用して、標的サイトのDNS*プロバイダーの管理者パネルへのログイン資格情報を取得します。
- その後、攻撃者はDNS管理パネルにアクセスし、標的とするサイトのDNSレコードを変更します(これはDNSハイジャックとして知られています)。これにより、サイトにアクセスしようとするユーザーはダミーサイトへ誘導されます。
- 攻撃者は TLS暗号化証明書を偽造し、ユーザーのブラウザにダミーサイトが正当であると確信させます。
- 疑いを持たないユーザーは、侵害/危害を受けたサイトのURLにアクセスし、ダミーサイトにリダイレクトされます。
- その後、ユーザーはダミーサイトへのログインを試行し、攻撃者がログイン資格情報を取得します。
*ドメインネームシステム(DNS)は、インターネットの電話帳のようなものです。ユーザーがブラウザに「google.com」などのURLを入力すると、DNSサーバー上のそのレコードは、そのユーザーをGoogleの配信元サーバーへ誘導します。それらのDNSレコードが改ざんされた場合、ユーザーは予期しない場所に到達することになります。
DNSハイジャック攻撃をどのように防止することができますか?
個々のユーザーには、これらの種類の攻撃で資格情報を失うことから自分を保護するためにできることは多くありません。ダミーサイトを作成するときに攻撃者が十分に徹底している場合、高度な技術を持つユーザーであっても違いを見つけることは非常に困難です。
これらの攻撃を軽減する1つの方法は、DNSプロバイダーが認証を強化し、2要素認証を要求するなどの手段を講じることです。これにより、攻撃者がDNS管理パネルにアクセスするのが劇的に難しくなります。ブラウザはセキュリティルールを更新することもできます。たとえば、TLS証明書のソースを精査して、使用されているドメインに準拠するソースからのものであることを確認します。