DNSやDHCP、IPアドレス管理製品を手掛ける米Infobloxは3月27日、DNSを悪用するフィッシング攻撃プラットフォームを発見したと報告した。また、4月10日には、米国立標準技術研究所(NIST)のセキュアDNS実装ガイダンス「NIST SP 800-81」の12年ぶりとなる改訂版(Rev.3)の素案が公開された。Infobloxのバイスプレジデントで政府・公共向けサイバーセキュリティ戦略アドバイザーを務めるCraig Sanderson氏は、「これを機にDNSのセキュリティに目を向けてほしい」と語る。
Infobloxで政府・公共向けサイバーセキュリティ戦略アドバイザーを務めるバイスプレジデントのCraig Sanderson氏
DNS(ドメインネームシステム)は、IPアドレスとウェブサイトなどのドメイン名をひも付ける仕組みで、インターネットの根幹をなす。Sanderson氏は、「これまでインターネットにとって極めて重要な位置にあるDNSの深いレベルにまでなかなかセキュリティの監視が行き届いていなかった。われわれが発見した脅威は、極めて複雑で非常に洗練された攻撃のプラットフォームであり、世界中のインターネット利用者への影響が懸念される」と話す。
Infobloxのセキュリティ脅威分析チームが発見し、「Morphing Meerkat」と名付けたフィッシング攻撃の活動は、DNSのMXレコードを悪用して、正規サービスの認証ポータルなどを巧妙に模倣したフィッシングサイトを動的に生成し、正規サービスの利用者の認証情報を窃取しているという。悪用された正規サービスのブランドは100種類以上と見られている。
フィッシングメールの受信者(被害者)がフィッシングサイトへのリンクをクリックすると、Morphing Meerkatを介して被害者のメールドメインのMXレコードが参照され、メールプロバイダーを特定、それに合わせたフィッシングサイトが表示される段取りになっているという。Morphing Meerkatでは、被害者に合わせた多様なフィッシングコンテンツを生成できること、広告配信サーバーなどのオープンリダイレクトを使用して攻撃コードを難読化し、セキュリティシステムによる検知や分析を回避するなどの「環境寄生型」と呼ばれる攻撃手法を駆使していることなどが特徴だとしている。
Infobloxによれば、被害者に送信可能なフィッシングメールには、英語や日本語、韓国語など少なくとも7言語が使われ、複数の攻撃者組織が関与していると見られる。攻撃者組織は、フィッシングで窃取した認証情報を不正アクセスに用いたり、さらにそこからマルウェアを大規模に拡散させたりと、多様な攻撃を実行する恐れがある。
「Morphing Meerkat」攻撃の展開イメージ(提供:Infoblox)
Sanderson氏は、サイバーセキュリティ分野で25年以上の経験があり、現職の前は同社でDNS防御製品の開発責任者を務めた。インターネットの民間利用が始まった黎明(れいめい)期こそDNSを含む基盤製品を手掛ける企業は多かったが、現在は確立された標準技術になり、同社は今では数少ないDNS領域を専門とする企業の1つだ。Sanderson氏は、それ故に今回のMorphing Meerkatの発見に至ったと述べる。
また、Morphing Meerkatとは別に、同社が1年半ほど前に発見した別の攻撃活動でDNSのMXレコードの悪用が判明し、このケースでは、中国の「グレートファイアウォール」に向かう通信が発生していたという。Sanderson氏は、この攻撃活動とMorphing Meerkatの関係性は不明だとしつつ、DNSの仕組みを悪用する攻撃活動の背景には国家的な関与も推測されるとも指摘している。
「インターネットの根幹となるDNSのセキュリティは、民間のサイバーセキュリティ企業でもなかなか難しいのが現状だ。これを推進するには、政府機関レベルからの取り組みが重要になり、私もその啓発のために世界各国を訪問している」(Sanderson氏)
4月10日に素案が公開されたNIST SP 800-81 Rev.3は、2013年以来の改訂になり、米国時間の5月26日までパブリックコメントなどを受け付け、その後数カ月をかけて検討や調整、修正を行い、正式版が発行される見込みだという。改訂案では、主にDNSやDNSプロトコルの保護、DNSを脅威から防御するプロテクティブDNSサービスの推奨などが盛り込まれている。
なお、この素案の作成には、同社でチーフDNSアーキテクトを務めるCricket Liu氏と上級グローバルソリューションアーキテクトのRoss Gibson氏が協力した。Liu氏は、ネットワークエンジニアの“バイブル”として知られる「DNS and BIND」の執筆者でもある。Sanderson氏は、「NISTのガイダンス作成に民間が関わることはほとんどないが、今回については、DNS領域の専門家が非常に少ないため協力した。素案において当社のビジネスに作用するような内容は一切なく、DNSに携わる全ての関係者に公平なものになっていることをご理解いただきたい」と話す。
NIST SP 800-81 Rev.3が正式版として発行されれば、欧州でも欧州連合(EU)の「改正ネットワーク・情報セキュリティ指令」(NIS2)などに反映される可能性が高いとのこと。Sanderson氏は、「DNSの新たなセキュリティ対策が各国の政府や通信規制当局やインターネット基盤に関係するような民間企業などを中心に推進されることを期待している。DNSのセキュリティ対策が不十分である現状を多くの組織が認識し、Morphing Meerkatのような脅威を防ぐための体制を関係者が一丸となって実現していきたい」と述べている。
12年ぶりの改訂案が示されたNIST SP 800-81 Rev.3
