WIRED / セラゼトディノフ
ハッカーが世界中の政府や諜報機関のウェブサイトに大規模な攻撃を仕掛けている。セキュリティ専門家は、攻撃者は名前が伏せられた政府の支援を受けており、その行動はウェブの機能を維持するシステムを脅かす恐れがあると主張している。
シスコのセキュリティチーム「Talos」による驚くべき最新調査によると、ハッカーが機密情報を盗もうと、インターネットインフラの中核部分が標的になっているという。現在わかっていることを以下にまとめる。
ハッキング
過去2年間、あるグループがDNSハイジャックと呼ばれる手法を用いて、ドメインネームシステム(DNS)を攻撃してきました。DNSチェックはウェブの仕組みの根幹を成すものです。ブラウザでサイトにアクセスするたびに、そのページへのリクエストはDNSレコードと照合されます。
本質的には、このシステムは電話帳で番号を検索するインターネット版のようなものです。DNSレコードは、閲覧しているデバイスに適切なサーバーから適切なウェブページが送信されることを保証します。DNSは、請求書の支払い、Facebookの閲覧、メールのチェックなど、オンラインで行うあらゆることに責任を負っています。
DNS情報が不正に操作されると、誤ったウェブサイトや偽のウェブサイトに誘導される可能性があります。これらのウェブサイトは一見正当なウェブサイトのように見えますが、マルウェアが含まれていたり、ユーザー名やパスワードを盗むようなページが含まれている場合があります。
2017年8月、ジュリアン・アサンジ氏は、ウィキリークスのウェブサイトがDNSハイジャックの被害に遭い、ホームページ訪問者が別のIPアドレスに誘導されたと述べました。近年、WhatsAppやセキュリティ企業AVGもDNSハイジャックの被害に遭っています。
シスコシステムズによると、直近の事例では13カ国40の組織がDNS攻撃を受けた。主な標的は各国の諜報機関、外務省、大手エネルギー企業で、攻撃グループは主に中東および北アフリカ諸国を狙っていた。
シスコは特定の国を非難していないが、セキュリティ企業FireEyeは今年1月、DNSハイジャックの責任をイランにあると指摘した。シスコは、今回の事件を「Sea Turtle」と名付け、これまでとは異なるとしている。
「DNSシステムへの攻撃は容易ではありません」と、Talosのアウトリーチ担当ディレクター、クレイグ・ウィリアムズ氏は語る。「今回の攻撃は、複数の複雑な要素を巧みに組み合わせ、DNSが有用であるために必要な根本的な信頼を損なう、はるかに危険な攻撃へと発展しました。」
シスコシステムズによると、典型的なインシデントでは、このグループは標的のDNSレコードを改ざんし、訪問者を別のウェブページに誘導する(攻撃の背後にある国名は明らかにしていない)。「彼らは基本的に、標的に関する秘密情報や機密情報を狙っているのです」とウィリアムズ氏は付け加えた。侵害されたウェブサイトは、数分間しか影響を受けないケースもあれば、数日間影響を受けたケースもあった。「これは純粋なスパイ活動です」
シスコによると、この攻撃の特徴は、このグループが情報を入手しようとしていた組織以外にも標的を絞っていたことだ。彼らはDNSレジストラを攻撃し、DNSの詳細を直接変更することができた。
一部のレジストラ組織は、.comアドレスなどのトップレベルドメインを標的としていました。ドメインレジストラに侵入するために、ハッカーたちは既知のソフトウェアの脆弱性やフィッシングメールを悪用しました。「攻撃者の次のステップは、正規のサービスを装い、ユーザーの認証情報を取得する中間者サーバーを構築することでした」と、同社のブログ投稿には記されています。
「これらの認証情報が取得されると、ユーザーは正規のサービスに引き渡されることになります。」また、このグループはウェブサイトとその訪問者の間で暗号化された接続を確立することを保証する、ウェブサイトの正規のSSL詳細も掌握しました。
これはどのくらい深刻なのでしょうか?
非常に懸念されます。DNSはインターネットインフラの重要な部分を担っているため、DNSへの攻撃は特に懸念されます。「DNSはインターネットを支える基盤技術です」と、シスコはこの事件に関するブログ記事で述べています。
攻撃者が通常のウェブ閲覧行動を危険にさらし、ウェブサイトが本来あるべき姿に見えながら実際には悪意のあるサイトである場合、オンラインでの情報共有の目的が損なわれる可能性があります。「ウェブブラウザにドメインを入力するとき、最終的にアクセスしたサイトが偽サイトではないかと疑う人はいません」とシスコのウィリアムズ氏は述べています。「こうした信頼とDNSシステム全体の安定性こそが、世界経済の原動力なのです。」
彼は、今回の攻撃はDNSシステムの根本的な弱点の一つを浮き彫りにしたと述べています。DNSハイジャックの事例は増加傾向にあります。1月、イランのハッカーの詳細が明らかになったのとほぼ同時期に、米国国土安全保障省はDNSハッキングに関する警告を発しました。
同社はDNS攻撃を追跡しており、「改ざん攻撃によって影響を受けた複数の行政機関のドメインを認識しており、それらを管理している機関に通知した」と述べた。
懸念されるのは、国家の支援を受けていない他のハッカー集団がDNSシステムを攻撃し始めた場合、より大きな問題が発生する可能性があることだ。「現在、これらの活動は国家を標的に非常に集中しているようだが、攻撃者が活動範囲を拡大したり、模倣犯が現れたりすれば、事態はさらに深刻化する可能性がある」とウィリアムズ氏は述べている。
「責任ある国々は、このシステムを標的とすることを避け、このシステムとそれを管理する組織は立ち入り禁止であるという世界的に受け入れられた規範を確立するために協力し、このシステムを標的にして無責任な行動をとる行為者を追及するために協力すべきだ。」
この記事はWIRED UKで最初に公開されました。
