ウィルスに・勝って花粉に・すぐ負けた
・・・ほんま・・・
ハッカーによるDNSハイジャック
インターネットのアドレス帳ともいえるDNS(ドメイン・ネーム・システム)をハッキングし、データを盗み取るハッカー集団
Sea Turtle(ウミガメ)と呼ばれる集団の主要ターゲットは、政府機関
DNSの改ざんは機密データの流出にとどまらず、インターネット全体の信頼性を破壊する
そのグループのひとつが、手の込んだ大規模なハッキングを成功させた
2019/4/17シスコシステムズのセキュリティリサーチチームCisco Talos
ハッカーたちは40の異なる政府関係機関をターゲットに、DNSのハイジャック(乗っ取り)によってハッキングを実行
この過程でハッカーたちは、いくつかの国別コードトップレヴェルドメインにまで到達
各国のあらゆるデータのトラフィックを危険にさらした
国別コードトップレヴェルドメインとは、”.co.uk”や”.ru”といった国を示す文字列のこと
インターネットのディレクトリー構造を改ざんすることで、ハッカーは密かに中間者攻撃を実行できるようになる
インターネットのネットワークに入り込み、標的となった機関宛に送られるウェブサイトや電子メールなどのあらゆるデータを、盗み取ることができる
被害に遭ったのは、通信会社やインターネット・サーヴィス・プロヴァイダー(ISP)、そしてドメインの登録管理業務を担うレジストラー、中東と北米の政府関係機関
そこには外務省に相当する機関や諜報機関、軍事施設、エネルギー関連機関が含まれている
DNSとは、利用者がブラウザーに打ち込むドメインネームを、サーヴァーの所在を示すIPアドレスに“翻訳”してくれるシステム
例えば「google.com」と入力すると、そのサーヴィスが配置されているコンピューターの場所を「64.233.191.255」といった具合にIPアドレスに変換してくれる
このシステムを改ざんできれば、ハッカーは特定のドメインから任意のIPアドレスへとデータを飛ばすことができる
Cisco Talosのリサーチャーであるクレイグ・ウィリアムズさん
Sea Turtleによる一連の攻撃は、インターネットの基本的な信頼の構造に疑問符を突きつける
「もしみなさんが、自分のパソコンから銀行のオンラインサーヴィスを利用したとしましょう。DNSサーヴァーが間違っているなんて思いませんよね」
「残念ながらいま起きているのは、そういった信頼関係が局所的に崩されてしまったということなのです。仮にウェブサイトを訪れたとしても、その相手が本当は誰なのかわからないといった状況なのですから」
ここ数年、ハッカーはDNSハイジャックを何度も繰り返してきた
単純なウェブサイトの書き換えからスパイ活動まで、あらゆるサイトが対象
なかにはDNSpionageというマルウェアを利用した活動も含まれており
この動きについてもCisco Talosが2018年後半に明らかにしている
また、同様の活動が今年の初めにイランを標的に展開された
ほかのセキュリティ会社はSea Turtleの活動の一部について
DNSpionageによるもだのと判断していた
だがSea Turtleの活動は異質であり、ずっと深刻な情報流出の危険性がある
DNSに特化したコンサルティングを提供するOpenDNSの創業者で、アンドリーセン・ホロウィッツのパートナーを務めているデイヴィッド・ウレヴィッチさん
「トップレヴェルドメインの管理権限があれば、誰でもドメインの追加や削除、記録の削除、さらにはドメインの転送によって破壊的な中間者攻撃を実行できます」
「トップレヴェルドメインの配下で、セキュリティ上の多大な問題が起きる危険性があります」
Cisco Talos
Sea Turtleメンバーの国籍などは特定できなかった
そして,この集団の具体的なターゲットについては明言を避けている
・・・NSA?
ただし、どの国の組織が狙われたのかは明らかにされた
具体的には、アルバニア、アルメニア、キプロス、エジプト、イラク、ヨルダン、レバノン、リビア、シリア、トルコ、そしてアラブ首長国連邦
シスコは今回のSea TurtleによるDNSハイジャックを巡り、ふたつの具体的な標的を挙げている
スウェーデンのルートサーヴァー管理会社であるNetNod
インターネットトラフィックに関する研究機関であるカリフォルニア州のPacket Clearing House
シスコによると、攻撃者は最初のターゲットとなるネットワークに昔ながらの手法で侵入した
電子メールによるスピア型攻撃や、未対策の脆弱性を突くハッキングツールを用いた
これをは踏み台にした
Sea TurtleはDNSプロヴァイダーへの完全なアクセス権を得るやいなや、予測可能な行動パターンに基づいてスパイ活動を始める
攻撃者たちは標的となる組織のドメイン登録情報を変更
データが正しいネットワークではなく、ハッカー集団のネットワークに切り替わるように細工
ユーザーが被害者のネットワークにインターネット経由で接続しようとすると、それがウェブだろうとメールだろうとなんであれ、悪意あるDNSサーヴァーがデータのトラフィックを別の“盗聴”用のサーヴァーに転送
そこでデータが傍受されたうえで、正しいネットワークに届く
中間者攻撃は、SSLサーヴァー証明書によって本来なら食い止められるはず
暗号化されたトラフィックの受信者が正当であることが保障されるから
しかし、ハッカーたちは証明書をLet’s Encryptやコモドといった承認局機能をもつ機関などから取得
正当であるかのように装ってユーザーをだます
こうした手法は精密にチェックすれば無効と判断されるが、ブラウザーのアドレスバーには鍵のアイコンが表示されてしまう
こうした中間サーヴァーが狙い通りの場所に密かに配置されると、ハッカーたちは“盗聴”したトラフィックからユーザー名やパスワードを抜き取ることができる
盗んだ認証情報とハッキングツールを用いることで、攻撃者は標的とするネットワークに深く入り込むこともできる
この過程で正当なSSLサーヴァー証明書を盗み取れば、偽のサーヴァーが本物であるかのように見せかけることすら可能に
こうしたスパイ活動の発覚を避けるため、ハッカーたちはたったの数日で痕跡を消し去ってしまう
だが、そのときには標的となる組織から大量のデータを盗み、いつでもネットワークに侵入できるような“鍵”まで手に入れてしまっている
DNSハイジャックでは、最初の攻撃の影響が標的とされたネットワークの外側にも
「そこに被害者は気づくことがありません」
ウィリアムズによると今年初め、FireEyeやCrowdstrikeといったセキュリティ企業が、Sea Turtleの手口の一部を明らかにしていた
ただしマルウェアであるDNSpionageによる攻撃と混同していた
Sea Turtleによる活動は続いており、しかも再びNetNodに攻撃を仕掛けようとまでしていたのだ
DNSハイジャックはSea Turtleだけではない
この手口は、特に中東ではハッカーたちの間に広がってる
FireEyeのプリンシパルアナリストであるサラ・ジョーンズさん
広がりつつあるDNSハイジャックに対する解決策のひとつは、登録情報の変更を制限するレジストリーロックの導入
これは一種の安全対策で、ドメイン情報が変更される可能性があるときに、レジストラーが顧客と連絡をとって承認を得る仕組
アメリカの国土安全保障省は今年に入り、シスコやFireEyeによるDNSpionage関連の発表を受け、ネットワーク管理者に対してドメイン登録の設定を確認するよう求めるよう警告
しかしシスコのウィリアムズさん
多くの国ではトップレヴェルドメインのレジストラーが、レジストリーロックを提供していない
多くの顧客は不安定な状態にさらされている
「こうした(レジストリーロックが提供されていない)国において、DNSの仕組みが正常に動いていると確信をもてるでしょうか?」
「仮にSea Turtleが検挙されたとしても、もはや止められません。繰り返し利用可能な方法論を確立してしまったと言えます。しかも、インターネットの信頼のモデルを破壊しつつあるのです」
「この手法が有効であるとほかのハッカーたちが理解したとき、模倣犯が出てくることになるでしょう」
・・・いまさらネットから離れる?
今日は~
キクザキイチゲ/Anemone pseudoaltaica
少しマエにアげたけど
こうなる前に雪が降ったんで・・・
奥にチョコっと普通種が
0 件のコメント:
コメントを投稿