日本レジストリサービス、米国国土安全保障省によるDNS設定の改竄に関する緊急指令の公開について発表
- 2019/01/31 10:00
- SecurityInsight
日本レジストリサービス(JPRS)は1月28日、米国国土安全保障省によるDNS設定の改竄に関する緊急指令の公開について発表した。
それによると、1月22日、米国国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が「Mitigate DNS Infrastructure Tampering(参考訳:DNSインフラストラクチャ改竄の軽減)」という緊急指令を公開したという。
この指令では、米国の全省庁に対し、米国の複数の行政機関のドメイン名においてDNS設定の改竄に関する一連のインシデントが発生しているとして、被害を軽減するための緊急対策の実施を指示している。
JPRSでは現時点において、日本国内で同様の攻撃事例の増加を観測していない。しかし、この件はDNSの安全性と信頼性に対する重大な脅威であることから、日本国内のすべてのドメイン名登録者・DNSサービス提供者・ドメイン名登録事業者に対し、DNS設定の改竄によるドメイン名ハイジャックを防ぐための対策と、設定の確認の実施を強く推奨している。
1月9日に公開された米国FireEye社の技術解説によると、一連のインシデントでは、
1.DNSプロバイダーに設定されたAレコードの不正書き換え
2.レジストラ経由で設定された登録情報(NSレコード)の不正書き換え
3.1および2の手法と、攻撃対象のドメイン名に対するDNSリクエストを選別/転送する、DNSフォワーダー/リダイレクターの組み合わせ
といった、さまざまな攻撃手法が用いられていることが判明している。
DNS設定が改竄され、ドメイン名の制御を攻撃者に奪われた場合(ドメイン名ハイジャック)、攻撃者は正規の方法を用いたサーバー証明書の不正発行が可能になる。結果として、HTTPSで保護されたWebサイトの偽サイトの立ち上げと、利用者のアクセスの偽サイトへの誘導が可能になる。