研究者たちは、国家によるスパイ活動の能力を持つ新しいDNSの脆弱性を発見
最近、新しいDNSの脆弱性が発見されました。研究者によると、この欠陥はハッカーに国家レベルのスパイ能力を与え、個人および企業ネットワーク上の情報にアクセスすることができます。この脆弱性は、DNS-as-a Serviceプロバイダーに大きな影響を与えます。
Wizというクラウドインフラセキュリティ会社の研究者たちは、Amazon Route 53を通じてその脆弱性を調査し、攻撃方法を発見しました。彼らは、「AmazonやGoogleのような管理されたDNSプロバイダーを通じて世界中のダイナミックDNSトラフィックの一部を傍受することができる簡単な抜け穴を見つけました」と述べました。
研究者たちは、その欠陥が世界中の民間および政府機関に影響を与える可能性があると主張しました。「私たちが“盗聴”したダイナミックDNSトラフィックは、フォーチュン500にランクインする企業や、45の米国政府機関、そして85の国際政府機関を含む15,000以上の組織から来ていました」とWizは述べました。
さらに、このハックはDNSハイジャック攻撃につながる可能性があります。研究によると、ドメイン名(例えばamazonaws.com)をAmazon S3バケット(そのホストはRoute 53に存在する)にリンクし、変更レコードを作成してドメイン名に関連付けることができます。これにより、攻撃者は自分のドメイン名からのトラフィックをリダイレクトし、AWSによって設置された保護を迂回することができます。
「DNSクライアントがこのネームサーバーに自身について問い合わせるとき(何千ものデバイスが自動的に自分のIPアドレスを管理されたネットワーク内で更新するためにこれを行います – これについては後で詳しく説明します)、そのトラフィックは直接私たちのIPアドレスに向かいます」とWizの研究者たちは述べました。
新しいDNS脆弱性の可能性のある影響
実施されたテストに基づき、Wiz Researchersは15,000以上の組織からDNSトラフィックを受信したとされています。彼らが受け取ったデータには、IPアドレス、オフィスの場所、ユーザー名が含まれていました。
研究者たちは、この問題はWindowsデバイスがIPアドレスが変更されたときにマスターDNSサーバーを見つけて更新するために使用するアルゴリズムに関連していると述べています。「[漏洩したトラフィック]は、企業や政府の内部で何が起こっているかについて、誰もが鳥瞰図を得ることができます。これを国家レベルのスパイ能力に例え、ドメインを登録するだけでそれを得ることができたと我々は述べています」とWizの研究者たちは述べています。
サイバー攻撃の潜在的な影響は、研究者たちが4万台以上のサーバーのトラフィックから収集したデータを使用して、ある大手サービス会社の従業員がどこに住んでいるかをマッピングしたときに示されました。
受け取ったデータには、従業員の詳細や組織のインフラに関する機密情報も含まれていました。企業のウェブサイトの大部分にある情報を使えば、脅威の主体は全てを手に入れることができます。すべての従業員、場所、構造、ネットワーク侵害に使用できるその他のものの概要です。
Black Hatの研究者たちは、「影響は甚大です。調査した6つの主要なDNSaaSプロバイダーのうち、3つがネームサーバー登録の脆弱性にさらされていました。DNSaaSを提供するあらゆるクラウドプロバイダー、ドメイン登録業者、およびウェブサイトホストが脆弱性を持つ可能性があります。」と述べました。
研究者たちは、このDNSの脆弱性が以前に野生で悪用された証拠はないと付け加えました。しかし、それを知っていて、ある程度のスキルを持っていれば、誰でも10年以上もの間、それを悪用できた可能性があります。
DNSの脆弱性を修正する
AmazonとGoogleに通知された後、彼らはその欠陥を修正しました。しかし、Wizの研究者たちは他のDNSプロバイダーも脆弱であり、何百万人もの人々を攻撃にさらす可能性があると考えています。
研究者たちはMicrosoftにも通知しましたが、彼らはそれが「組織が外部DNSリゾルバと連携する際に発生する既知の誤設定であり、脆弱性ではない」と返答しました。
Microsoftは、動的DNSアルゴリズムを調整できるにも関わらず、それが脆弱性ではないと主張しています。したがって、この重大なDNSバグを誰が修正すべきかは不明です。
Wizは、サービスプロバイダーがデータ漏洩とDDOS攻撃を防ぐためにいくつかの対策を講じることができると述べています。組織は、DNSリゾルバを適切に設定することでデータ漏洩を防ぐことができます。
Redmondの推奨事項は、内部と外部のホストに異なるDNS名とゾーンを使用し、Windowsでダイナミックアップデートを適切に設定する方法に従うことです。これにより、競合のリスクが減少し、ローカルネットワーク上のコンピュータが自動的にDNS設定を解決するのが容易になります。
管理されたDNSプロバイダーは、顧客に登録を依頼する前にドメインを検証し、確認することでDNSハイジャックの問題を解決することもできます。さらに、それを防ぐためにRFCの「予約済み名前」仕様に従うことができます。
DNSサーバーを借りている企業は、動的DNSを更新し、デフォルトの権威開始(SOA)レコードを変更することで、インターネットネットワークトラフィックの漏洩を防ぐことができます。
## 結論
Wiz Researchersは、DDOS攻撃を引き起こす可能性のある新しいDNSの欠陥を発見しました。これは、国家レベルのスパイ活動の能力があることがテストされ、証明されました。この欠陥は、ビジネス、個人、政府機関に影響を与える可能性があります。従業員に関する機密情報の漏洩やビジネスの混乱を引き起こすことがあります。AmazonとGoogleは自社のシステムでこの問題を修正しましたが、Microsoftは脆弱性がないと主張しています。
Wizの研究者たちは、DDOS攻撃を防ぐために、組織に対してDNSを更新し、サイバーセキュリティを真剣に取り組むように助言しました。