Ciscoは、国家が支援するハッカー集団が、スピアフィッシングや既知のソフトウェアの不具合を組み合わせて利用することで、DNSを操作しようとしていると警告を発した。
同社の研究者らは、「DNSはインターネットを支える基礎的な技術だ。このシステムを操作することは、ユーザーのインターネットに対する信頼を損ねる可能性がある。その信頼とDNSシステムの安定性は、全体としてグローバル経済を支えている。関係国はこのシステムを標的にすることを避けるべきだ」と述べている。
同社によれば、この2年以上に渡って、「Sea Turtle」と呼ばれるグループが多数のDNSレジストラやレジストリをハッキングし、一部の国の国家安全保障関連の組織や政府機関に対してDNSハイジャック攻撃を仕掛けているという。この攻撃は13カ国の40機関に影響を与えた。
利用されている脆弱性の中には、2017年にWikiLeaksが公開し、米中央情報局(CIA)のハッキングツールの情報などが含まれていた「Vault 7」によって明らかになったものもある。Vault 7による情報の暴露で、Ciscoは広く普及している同社のネットワークソフトウェア「Cisco IOS」や「Cisco IOS XE」に、遠隔から任意のコードを実行される恐れのある深刻な脆弱性「CVE-2017-3881」が存在することを発見した。同社の300モデル以上のスイッチに影響し、その多くは「Catalyst」シリーズとされていた。
同社は2017年に発表したアドバイザリを改訂し、再びセキュリティアドバイザリページのトップに掲載した。これらのアドバイザリには、国家の支援を受けたハッキンググルーブによるものとみられる今回の脆弱性の悪用手法について、新たな警告が追加されている。
この攻撃には、「Cisco Adaptive Security Appliance」(ASA)製品などのVPNアプリケーションになりすまし、標的のネットワークに遠隔からアクセスするためのVPN用の認証情報を獲得する手順が含まれている。攻撃者はトラフィックをリダイレクトし、正規のSSL証明書を手に入れるためにDNSハイジャックを使用している。
Cisco Talosの研究者らは、「このキャンペーンの1つの特徴は、攻撃者がCisco Adaptive Security Appliance(ASA)などのVPNアプリケーションになりすまし、中間者(MITM)攻撃を実行する能力を持っていることだ。わが社は現時点では、攻撃者が新たなASAの脆弱性を発見したとは考えていない。攻撃者はASAのSSL証明書に付随する信頼関係を悪用して、VPNで使用する認証情報を収集し、被害組織のネットワークに対するリモートアクセスを獲得している可能性が高い。この中間者攻撃を行う能力は、攻撃者がさらに多くのVPN認証情報を収集することを可能にするものだ」と説明している。
Cisco Talosは、今回の攻撃に使用されている7件の既知の脆弱性を挙げた。これには、Ciscoのスイッチに影響するリモートからコードを実行可能な脆弱性「CVE-2017-3881」、Ciscoのサービス統合型ルーター「Cisco 2811」に影響する脆弱性「CVE-2017-6736」、ディレクトリトラバーサル攻撃によってCiscoのASAデバイスやファイアウォールへのアクセスを獲得可能な脆弱性「CVE-2018-0296」が含まれる。
また、「Drupal」のCMSに存在するリモートからコードを実行可能な脆弱性(「Drupalgeddon」とも呼ばれる)、リモートからコードを実行可能な「GNU bash」の脆弱性、「phpMyAdmin」に影響するコードインジェクションの脆弱性も利用されている。
研究者らは、「わが社はこの活動が、高度な能力を持つ国家の支援を受けた攻撃者が、機密を扱うネットワークやシステムへの持続的なアクセスを獲得するために実行しているものであることを強く確信している」と述べている。
また同社は、Sea Turtleの活動は、2018年後半に明らかになった攻撃キャンペーン「DNSpionage」とは別のものだとも述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
