本記事は、Microsoft Security のブログ “Threats in the Cloud – Part 1: DNS Attacks” (2014 年 2 月 4 日公開) を翻訳した記事です。
クラウド サービスの人気は、ここ数年で著しく増加しています。このような成長の背景には、クラウド サービスの設計や管理の方法の透明性が大きな役割を占めています。クラウド サービスの活用について話をした CISO の多くは、安心して組織のデータやアプリケーションをクラウドでホストできるよう、クラウド サービスが直面する脅威の種類についての詳細情報を求めています。最新版のマイクロソフト セキュリティ インテリジェンス レポート(第 15 版) では、クラウド サービス プロバイダーやその顧客が知っておくべきいくつかの脅威について説明しています。データ センターや Web サイトを運用している組織では、さまざまな攻撃の脅威に慣れており、驚かなくなっていることでしょう。グローバル ドメイン ネーム システム (DNS) インフラストラクチャへの攻撃や分散サービス拒否 (DDoS) 攻撃は、その規模に関係なく、インターネットに接続された IT インフラストラクチャやクラウド サービスに特有のもので、運用が中断するリスクを管理するためにも、認識したうえで計画を立てておく必要があります。このような攻撃は、Web サイト、ポータル、クラウド サービスなどのインターネット サービスを中断させ、インターネットに接続されたデバイスをマルウェアに感染させる可能性があります。
ドメイン ネーム システム (DNS) 攻撃
グローバル DNS への攻撃は、現在のインターネットに影響を及ぼす、最も深刻で損害を与える可能性のある攻撃の 1 つです。過去に実際に起きたケースのように、攻撃者が DNS レコードを管理している登録機関の侵害に成功すると、数多くの組織や個人に影響が及ぶ可能性があります。
攻撃者が (インターネットのユーザーが名前解決に利用する) ネーム サーバーやレジストリの侵害に成功すると、DNS クエリが悪意のあるネーム サーバーにリダイレクトされてしまう可能性があります。たとえば、microsoft.com (または他のドメイン) の権威ネーム サーバーへの侵害が発生すると、www.microsoft.com への要求が攻撃者の指定した IP アドレスにリダイレクトされ、そこではマルウェアが供給 (英語情報) されていたり、故意に改ざんされた (英語情報) Web サイト (図 1 を参照) であったりすることがあります。攻撃者が DNS 名前空間の階層構造の上位にあるドメインを狙うと、損害が大きくなる可能性があります。仮にルート ネーム サーバーの侵害があった場合、インターネット上のすべてのドメインが危機にさらされる可能性があります。
図 1: レジストリが侵害されると、DNS クエリに対して悪意のある応答が発行される可能性がある
その結果、特に比較的小規模な市場では、国別コード トップ レベル ドメイン (ccTLD) のレジストリが攻撃の標的になることが多くなりました。ccTLD は、国や地域で一般に使用または予約されているトップ レベル ドメインです (カナダの場合は .ca など)。現在、世界中で数億個のドメインに対応する 300 個以上の ccTLD ネーム レジストリがあります。多くの組織同様、マイクロソフトでも 、Microsoft Canada の microsoft.ca や日本マイクロソフトの microsoft.co.jp など、地域ごとの子会社に対応する登録済みのドメインを多数の ccTLD で管理しています。
残念なことに、一部の ccTLD 登録機関で運用されているネーム サーバーは攻撃に対して脆弱であり、個人、非営利組織、政府組織などのほか、小規模な企業やマイクロソフトなどの大企業にも悪影響が及ぶ場合があります。2012 年 5 月から 2013 年 7 月までの期間中、特定の国や地域でマイクロソフト (および他の多くの組織) の DNS レコードを管理している 17 の ccTLD が侵害されました。一般にこのような侵害は、SQL (Structured Query Language) インジェクション エクスプロイトやソーシャル エンジニアリングを組み合わせて行われます。
攻撃者が攻撃に成功した場合、コンピューターのユーザーが、乗っ取られた DNS サーバーによって解決された URL を使って Web サイトにアクセスしようとすると、そのユーザーのシステムはユーザーの知らないうちに攻撃者が制御しているサーバーにリダイレクトされます。標的になった Web サイトの所有者は、一般に ccTLD を制御することはできず、また攻撃に関する知識がない場合も多くあります。攻撃者が運用しているサーバーでは、エクスプロイト キット、マルウェア、フィッシング サイトなどの悪意のあるコンテンツや不適切なコンテンツをホストしているのが一般的です。ユーザーが閲覧する Web サイトの外観は、通常は悪意のあるコンテンツが含まれていることのない正式な Web サイトのものにそっくりである可能性があります。攻撃者は悪意のある IFrame (1 ピクセル程度の大きさ) や悪意のある JavaScript を利用して、何も知らないユーザーのシステムをさまざまな方法で侵害します。ユーザーのシステム上にあるすべてのソフトウェアで、セキュリティ更新が最新の状態でない場合、攻撃者はその弱点を利用してシステムを侵害し、マルウェアをシステムにダウンロードしてしまいます。その結果、攻撃者はシステムにリモート アクセスすることで、システムをリモートで制御できるようになります。その後、ユーザーのシステムは、ユーザーの同意を得ずに、ユーザーの知らないところで、DDoS 攻撃、スパム プロジェクト、盗んだり不正にコピーしたりしたコンテンツやソフトウェアのホスト、侵害されたシステムからのデータやソフトウェア キーの窃盗、侵害されたコンピューターのユーザー ID の窃盗といった、さまざまな不法行為に利用されます。DDoS 攻撃については前にも触れましたが、このような攻撃は、クラウド サービスや Web サイトなどを標的にして、ユーザーへのサービスの中断を狙ったものです。DDoS 攻撃については、このシリーズのパート 2 で詳しくお話しします。侵害されたシステムは、攻撃者が別のインターネット ユーザーへの攻撃に利用する、悪意のある Web サイトのホストにも使われます。これは、攻撃者が攻撃の規模を拡大し匿名性を維持するための、きわめて効果的な方法であると言えます。この種の攻撃は、大量のインターネット ユーザーや接続デバイスを対象にドライブバイ ダウンロード攻撃やフィッシング攻撃をしかけることができるため、大量のシステムを侵害できる確率が高くなることもあり、一部の攻撃者に大変人気があります。
マイクロソフトは、同業他社、パートナー、ICANN などの業界グループが緊密に協力するよう努力することで、ccTLD への認知度が高まり、DNS レコードの不正操作による不運な悪影響を抑えることができると考えています。
リスク管理の指針
この手の DNS の乗っ取りは、被害にあった組織の社会的な信用を損ない、組織の評判を傷つけることになります。セキュリティのベスト プラクティス、ツール、トレーニング、認知によって、この種の攻撃を防ぐことができます。以下は、DNS 攻撃のリスクを管理する場合の具体的な方法の一部です。
SQL インジェクション攻撃は、攻撃者がサーバーを侵害するのによく使う手口であることから、サーバーを SQL インジェクション攻撃から守ることは重要です。マイクロソフトでは、SQL インジェクション攻撃からシステムを守る方法を解説した無料のガイダンス『SDL クイック セキュリティ リファレンス ガイド』を発行しています。
- インターネット レジストリへの攻撃が多発し、深刻な影響を及ぼす可能性があるため、マイクロソフトではレジストリに関するサポートを無料で提供しています。マイクロソフトが無料で提供している ccTLD レジストリ セキュリティ評価サービス (英語情報) では、レジストリ オペレーターが脆弱性を見つけて、システム侵害を回避できるようサポートします。
- ccTLD が脆弱な Web サイトを所有している場合、DNS 攻撃を TLD レベルで防ぐことはきわめて困難であるか不可能です。Web サイトの所有者は、ccTLD 登録機関にマイクロソフトの ccTLD レジストリ セキュリティ評価サービス (英語情報) を利用することで、攻撃に対して無防備なドメインの脆弱性を見つけて緩和策を講じるよう働きかける必要があります。
- 攻撃者は個人のドメインについても DNS を直接乗っ取って攻撃の標的とするため、Web サイトの所有者は指定の権威ネーム サーバーが承認なく変更されないようにする必要があります。多くのドメイン名登録機関では、ドメイン所有者の認可なしに DNS レコードが変更されないようにするために、ドメインのロック サービスを提供しています。Web サイトの所有者は、登録機関が提供するロック サービスを利用し、ロック サービスを提供していない登録機関に対しては改善を求める必要があります。サイトの所有者は、ドメイン レジストリ アカウントへのアクセスに使用するユーザー名やパスワードを慎重に保護し、アカウントの確認や変更には SSL 接続のみを使用するなど、ドメイン名を不正な変更から守るための一般的な措置を講じる必要もあります。
- インターネットに接続されたデバイスは、ドライブバイ ダウンロード攻撃やマルウェアの危険にさらされても侵害の可能性を軽減できるよう、最新のセキュリティ更新プログラムを適用して、常に最新の状態にしておく必要があります。これには、オペレーティング システムやブラウザーだけでなく、すべてのソフトウェアおよびハードウェアの更新も含まれます。たとえば、Oracle Java は多くのシステムで古いバージョンがそのまま使われているため、近年、世界で最も激しい攻撃を受けるソフトウェアの 1 つであると言われています。詳しくは、以下の記事をご覧ください。
ドライブバイ ダウンロード攻撃に関する注意 - その 1
ドライブバイ ダウンロード攻撃に関する注意 - その 2
"Blackhole" エクスプロイト キットの台頭: すべてのソフトウェアを最新の状態にしておく重要性
このシリーズの次のパートでは、分散サービス拒否 (DDoS) 攻撃について解説します。
Trustworthy Computing (信頼できるコンピューティング) 部門
ディレクター
Tim Rains (ティム・レインズ)