米国国土安全保障省、DNS改ざんによる不正証明書に関する緊急指令警告を発行

ニュースソース:Cybersecurity Directives
以下は 2019年1月22日に公開された ED 19-01 – Mitigate DNS Infrastructure Tamperingを要約したものです。


政府および産業界のパートナーと連携して、国土安全保障省(DHS)のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(Infrastructure Security Agency =CISA)は、DNS インフラストラクチャ改ざんを含む一連の事件を追跡しています。CISA は、改ざんキャンペーンの影響を受けた複数の行政機関のドメインを認識し、それらを維持している機関に通知しました。

次の手法を使用して、攻撃者は Web およびメールのトラフィックをリダイレクトして傍受し、他のネットワークサービスに対しても同様のことを実行できます。

攻撃者はまず、DNS レコードを変更する可能性のあるアカウントのユーザー資格情報を危険にさらすか、別の方法でそれらを取得します。


次に、攻撃者は Address(A)、Mail Exchanger(MX)、または Name Server(NS)レコードなどの DNSレ コードを変更して、サービスの正当なアドレスを攻撃者が制御するアドレスに置き換えます。これにより、ユーザートラフィックを合法的なサービスに渡す前に、ユーザートラフィックを操作または検査のために独自のインフラストラクチャに振り向けることができます。これは、トラフィックのリダイレクト期間を超えて持続するリスクを生み出します。


攻撃者は DNS レコード値を設定できるため、組織のドメイン名に対して有効な暗号化証明書を入手することもできます。これにより、リダイレクトされたトラフィックを復号化して、ユーザーが送信したデータを公開することができます。証明書はドメインに対して有効であるため、エンドユーザーはエラー警告を受け取りません。


この活動によってもたらされる政府機関の情報および情報システムに対する重大かつ差し迫ったリスクに対処するために、この緊急指令が発令されました。未知の改ざんによるリスクを軽減し、各機関に対する不正な DNS 活動を防止し、無許可の証明書を検出してください。