「だまされないように気を付ける」ことの限界――DNS、ARPが狙われるとどうなる?:ビジネスインフラを狙う攻撃にどう対応するか(2)(2/2 ページ)
ユーザーが十分に注意することでサイバー攻撃に対抗できる。このような思い込みは危険だ。例えば、正しいURLを入力したにもかかわらず、攻撃者の用意した偽サイトに誘導されてしまう攻撃が存在する。なぜこのようなことが起こるのか。今回はインターネットの仕組みを悪用して偽の通信を成立させたり、盗聴できたりすることを再確認し、現在実際に発生している事例を基に対策を考えていく。
ブロードバンドルーターを攻撃、クライアントのDNS設定を変えると……
2018年3月ごろに「Facebook拡張ツールバッグを取付て安全性及び仕様流暢性を向上します」というメッセージとともに始まるサイバー攻撃が話題になった。これはルーターのDNSを変更するサイバー攻撃だ。
カスペルスキーはこれを「Roaming Mantis」と名付けている。無線LAN接続のAndroidスマートフォンに、偽のFacebookアプリをインストールさせることが目的の攻撃だ。注目すべきなのは「ルーターのDNS設定を変更する」部分だ。
セキュリティ企業のラックは、日本国内で販売されている複数の家庭用ブロードバンドルーターをインターネットに接続する実験を行った。その結果、攻撃パケットに反応してDNS設定が変更されてしまったという。攻撃が成立する条件はさまざまだ。各ブロードバンドルーターに存在する脆弱性を利用する、初期パスワードをそのまま利用している、管理画面がインターネット側からアクセスできるといった条件があるという。
情報通信研究機構(NICT)のNICTER Blogでは、DNSを書き換えられた際にどのようなことが起こるのか調査結果が掲載されている。それによれば、facebook.comやtwitter.com、www.google.comにアクセスした場合は正規のIPアドレスを戻すものの、それ以外のURLの名前解決では、マルウェア配布用のWebサイトのIPアドレスを戻すという。このマルウェア配布Webサイトに「Facebook拡張ツールバッグ」があり、次の段階の攻撃へとつながっていく。
この事象に関しては、各種Webサイトの情報が詳しい。こちらも併せて参考にしたい。これは2018年3月ごろに発生した事象ではあるが、カスペルスキーのブログによれば、現在でも攻撃が継続しており、iOS向けには仮想通貨マイニングを行うWebサイトへ誘導するなど、その後の手法にも変化が表れている。
- 不正アプリをダウンロードさせるルータの DNS 設定書き換え攻撃が発生 | トレンドマイクロ セキュリティブログ
- 「Netcommunity OGシリーズ」におけるインターネット接続不可事象について | お知らせ・報道発表 | 企業情報 | NTT東日本
- DNS設定を乗っ取りAndroidデバイスに感染するRoaming Mantis | カスペルスキー公式ブログ
- ルーターのDNS改竄によりダウンロードされる「facebook.apk」の内部構造を読み解く | カスペルスキー公式ブログ
- 終息どころか「拡張」と「拡散」続くIoTマルウェア 警告相次ぐ (1/2) - ITmedia NEWS
- Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散 | カスペルスキー公式ブログ
ネットワークの基礎的な部分が狙われるからこそ
紹介したルーターのDNS書き換え手法を見ると、意外にも、初歩的な手法が最大の効果を挙げていることが分かる。
DNS設定を変更するという攻撃に対抗するには、ルーターの設定を見直すなど基本的な確認が必要だ。そのため、いったん変更されてしまうとなかなか検知が難しいというのが実情かもしれない。
冒頭に紹介したARPスプーフィングも、主にLAN内でしか使えない攻撃ながら、これを検知、防御する仕組みを運用している企業はどれだけあるだろうか。実際に攻撃される可能性は低いかもしれないが、通常とは違う事態が発生した時に原因の可能性を察知できるかどうかが、サイバー攻撃への初動対応の成否に直接影響するだろう。
サイバー攻撃というと未知の脆弱性を利用し、驚くような手法を利用してくるという印象がある。だが、実情は違う。誰もが重要だと分かっているが、対応できていない部分が狙われる。
例えば、ルーターの初期パスワードをそのまま運用している、公開すべきではないものが公開されているといった手法だ。さらに、あまりにも基礎的な技術を狙われると、攻撃に気が付かない可能性もある。@ITでは基礎に注目し、セキュリティ・キャンプ実施協議会の協力の下、基礎となる「セキュリティ用語辞典」のブラッシュアップを進めている。多くの方には自明かもしれない用語でも、新たな発見があることを願いつつ、こちらにも再度目を通していただきたい。
特集:ネットワークセキュリティの新常識 「動作する」と「企業インフラとして確実に機能する」の違い
サイバー攻撃や情報漏えい対策などの「セキュリティ」に注目が集まっている。ビジネスを止めないという意味では、普段は動き続けているかもしれないが、トラブルが即ビジネスに直結してしまう「インフラのセキュリティ」にも注目する必要がある。DNSやDHCP、無線LAN、ネットワーク監視などは、動いていることが運用できているというわけではない。正しく運用できて、はじめてリスクが極小化されるのだ。セキュリティやインフラに専任のエンジニアが張り付き、完ぺきな判断ができるという環境はまれだ。そこで、ネットワークセキュリティをキーワードに、ネットワークのインフラに近い部分に存在する落とし穴を可視化し、適切な対策を取るためにはどうしたらいいか、基礎技術や最新ソリューション、そして事例を含め紹介しよう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
もう一度考えたい、企業内ネットワークの「維持」のためにすべきこと
社内ネットワークは企業活動のインフラとして、動いて当たり前の存在だ。だが、問題を起こしやすい部分のみが脚光を浴び、DNSやDHCP、認証などは必ずしも十分に管理されていない場合がある。いざ停止したときの備えがないと、企業活動が滞ってしまうことはもちろん、サイバー攻撃の対象となった場合の被害も大きい。今、何ができるのか、もう一度確認しておこう。
カミンスキー氏が発表したDNSアタック手法と対策例
2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の本質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部)- もう一度見直したいDNS/DHCP 連載インデックス
企業に認証サーバが必要な理由
本連載ではRADIUSの概要をお話ししてみたい。初めにお断りしておくが、筆者はRADIUSのプログラムを提供する側の人間ではない。どちらかといえばプログラムを利用する側の人間である。それもあり、RADIUSそのものだけを深く掘り下げることはせず、認証を軸にお話できればと思う。