デジタルトラスト 05-17-2022

DNS ハイジャックの増加を受け、DigiCert Labs が大規模 DNS 攻撃を自動検出する研究に資金提供

Dr. Avesta Hojjati
digicert-blogimages-mar22

DNS(ドメインネームシステム)ハイジャックとは、ハッカーがドメインの正当な所有者からその所有権を奪うことであり、民間企業と公共部門の両方に影響を与える重大な問題です。DNS は接続先のインターネットサービスを特定するために使用されているため、攻撃者が DNS のハイジャックに成功した場合、ユーザーのデバイスにマルウェアをインストールする、クレデンシャルを盗む、購入処理をリダイレクトするなど、多彩な攻撃を行うことが可能になります。DNS 攻撃の被害を受けたドメイン所有者は、経済的損失を受けるだけでなく、評判にも傷がつきます。

デジサートの調査によれば、最近、DNS ハイジャックの事例が増加しています。2021 年の調査では、過去 12 か月以内に DNS 攻撃を経験した組織は 72%、DNS ハイジャックを経験した企業は 47% にのぼります。業界や脅威をとりまく状況が進化する中で、DNS の既存の脆弱性を知り、証明書発行時にお客様を保護するための予防策を講じることが重要です。そこでデジサートでは、DNS ハイジャックが実際にどのように発生し、どうすれば未然に防ぐことができるのかを理解する取り組みに乗り出しました。

DNS の脆弱性のレベル

攻撃者がドメインにアクセスする方法は、組織経由、ドメインを所有する個人であるレジストラント(登録者)経由、TLD オペレータ経由、レジストリ経由、ドメインレジストラ経由等さまざまあります。どのようにアクセスするかによって、攻撃者が得られるアクセス権のレベルは変わります。たとえば、レジストリが攻撃された場合、そのレジストリが管理するすべてのドメインにアクセス可能になります。レジストラが攻撃された場合、そのレジストラが管理するすべてのドメインへのアクセスが可能になります。レジストラントが攻撃された場合は、レジストラントが所有するドメインのみにアクセス可能となります。一般的に最も脆弱な部分と考えられているのは、攻撃ベクトルが大きくハッカーにとって魅力的なドメインレジストラです。

これまでの研究

2018 年、Cisco Talos によって「DNSpionage」が発見されました。DNSpionage とは、マルウェアが仕込まれた Microsoft Office 文書を含む悪意のある Web サイトを使用した DNS 攻撃です。攻撃者が作成した偽の求人サイトには、ダウンロードすると攻撃者の手にリモート管理権が渡るという悪意のある文書が含まれていました。そのちょうど 1 年後の Sea Turtle 攻撃の後、Cisco は「この手口が成功したことによって、攻撃者がより広範囲にグローバルな DNS システムを攻撃するようになることが危惧されます」と警告しました。同じ年、米国の複数の行政機関が Web と E メールのトラフィックをリダイレクトして傍受する攻撃を受けた後、国土安全保障省は DNS ハイジャックに関する指令を発令しました。

それから 3 年経った今も、企業は DNS ハイジャックと闘い続けています。企業は事業継続のために Web と E メールに依存していますが、DNS 攻撃への対処に非常に自信がある組織は 3 分の 1 未満に過ぎず、27% の組織は不安を抱えています。DNS ハイジャックを防止するには、セキュリティを常に最新の状態に保ち、フィッシングのトレーニングを実施して従業員が怪しいリンクをクリックしないようにし、特に機密情報を共有する場合は公衆 Wi-Fi を使用しないようにする必要があります。

DNS 攻撃に対処する準備をすることはベストプラクティスですが、理想的には、対策を講じて攻撃を未然に防ぐためのツールを用意すべきです。そこで、デジサートでは、大規模 DNS ハイジャックの理解を深め、将来の攻撃を防止するためのプロジェクトに投資することにしました。

DNS ハイジャックをリアルタイムで自動的に検出する方法があったなら

デジサートはデジタルトラストの世界有数のプロバイダーとして、Web のセキュリティを向上してユーザーを保護するための方法を常に探し求めています。現在、カリフォルニア大学サンディエゴ校とスタンフォード大学の研究者とともに、DNS ハイジャックについて理解を深め、悪意をもって取得された証明書を特定して対策を講じることで将来の攻撃を防止するための取り組みを行っています。これは当社のお客様と業界全体にとって有益な取り組みです。なぜなら、DNS やレジストラのハイジャックをリアルタイムに検知できれば、CA が攻撃者に信頼できる証明書を発行するのを防止できるからです。目標は、実際のログ、DNS、CT、インターネットスキャンのデータを調べることで、ドメインがどこで、どのようにハイジャックされたのかを理解することです。研究チームは最終的に、ドメインハイジャックをリアルタイムで検知し、攻撃者への証明書発行を防ぐシステムを設計する予定です。

スタンフォード大学コンピュータサイエンス学科の Zakir Durumeric 助教授は次のように述べています。「かつては理論上の攻撃と考えられていた DNS ハイジャックは、今や政府や重要組織にとって現実的な脅威となっています。最近の研究により、ドメインのハイジャックは従来考えられていたよりも頻繁に発生していることが分かってきました。CT(証明書の透明性)ログ、パッシブ DNS、インターネット全体のスキャンなどのグローバルなデータ収集と公開データソースを使用して DNS ハイジャック攻撃をリアルタイムで検出するソリューションの構築に取り組めることを嬉しく思っています」

一方、企業では、厳しい認証基準をもつドメインレジストラを選択し、脆弱性を注意深く監視するとともに、レジストラ側における認証情報流出を防ぐためにフィッシングの危険性について従業員を教育する必要があります。

この DNS に関する研究の最新情報については、DigiCert ブログで随時報告していきます。デジサートは、デジタルトラストで世界をリードする企業として、DNS 攻撃はもっと注目されるべきだと考えています。本プロジェクトのような対策を積極的に講じていかなければ、DNS 攻撃は今後も進化し続けるでしょう。

UP NEXT

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失