ニュースソース:WIRED
以下は2017年4月4日に公開されたHow Hackers Hijacked a Bank’s Entire Online Operationの記載を要約したものです。
カスペルスキーの調査員が、銀行のネットワークを丸ごとハイジャックするという前代未聞の銀行強盗について発表しました。
カスペルスキーの調査員によると、昨年10月22日の午後1時に、ハッカーが銀行のDNSを変更しユーザーをフィッシングサイトへ誘導するように銀行のサイトをハッキングしました。
それと同時に、ATMや販売管理情報のトランザクションを自分達のサーバーへリダイレクトさせ、その日の午後にカードを使った人たちのクレジットの詳細情報を集めたと考えられています。
カスペルスキー調査員のBestuzhev氏によると、銀行のオンラインは5-6時間の間は完全にハッカーに乗っ取られていたそうです。
同氏は、「ハッカーの視点からするとDNSの攻撃に成功することは、銀行の全てが自分の物になることに等しい」と言います。
カスペルスキーは今回被害にあった銀行名を公表していませんが、100以上の支店、500万以上の顧客、$270億以上の資産を持つ、グローバルに展開しているブラジルの銀行だと言います。
今回の事件における被害の全容は把握できておらず、すべての銀行にDNSのセキュリティの重要性を認識させるには十分な衝撃がありました。
カスペルスキー調査員のBestuzhev氏は、「既知の脅威ではあったが、ここまでスケールの大きなケースは見たことがない」と言います。
DNSは、英数字のドメイン名(例: Google.com)を、実際にサイトをホストする機器の位置を示すIPアドレス(例: 74.125.236.195)に変換するという、インターネットにおけるとても重要な役割を果たします。
しかし、そこを攻撃することによってサイトをダウンさせたり、ハッカーが選んだサーバーへリダイレクトさせたりすることもできてしまうのです。
カスペルスキーによると、ハッカーはブラジルのトップレベルドメインの1つであり、銀行のDNS管理も行っていたレジストラであるNIC.brのRegistro.brドメインの銀行アカウントを攻撃し、アカウントへのアクセスと同時にハッカーがGoogle’s Cloud Platform上に作成したサーバーへリダイレクトさせるようにDNSを変更しました。
リダイレクトされた本物そっくりなサイトでは、6か月前にLet’s Encrypt(無料のオープンな認証局)によって発行されてた銀行名の証明書を使って、本物のサイトと同様にブラウザに緑の鍵マークが表示されます。
銀行以外の第三者に銀行名の証明書を発行したことについて、Let’s Encrypt創始者のJosh Aas氏は「エンティティはDNSとドメインを制御する義務がある。Let’s EncryptはエンティティがDNSとドメインをコントロールしている前提で証明書を発行しているので、我々の発行ミスではありません」と言います。
DNSの制御を奪われたことで、銀行は顧客にアラートのメールを送ることすら出来ませんでした。
ハッカーはさらに、偽サイトへアクセスしたユーザに対して銀行からのTrusteerアップデートのお願いと称してマルウェアをダウンロードさせていました。
カスペルスキーの調査で、マルウェアによって銀行アカウントだけではなく、FTPとメールのログイン情報に加え、OutlookとExchangeから連絡先情報も盗まれていることが分かりました。
また、マルウェアにはアンチウイルスソフトを無効化する機能も含まれていました。
カスペルスキー調査員によると、NIC.brに対してDNS登録を修正する様に依頼をし、発生から5時間程経過した後にドメインの制御を取り戻したとしています。
DNS攻撃で被害を受けた銀行のユーザー数は分かっておらず(銀行が情報を開示していない)、今回のハッキングに関しても銀行は公表していません。
しかし、カスペルスキーによると、フィッシングとマルウェアだけでなく、ATMや販売情報のトランザクションからリダイレクトさせることによって何百万人ものユーザーのアカウントの詳細が盗まれたと考えられています。
なぜ、初めにNIC.brが銀行ドメインの制御を奪われてしまったのか?
NIC.brは1月のブログで、ウェブサイトで特定の状況下において、クライアントの設定を変更できてしまう脆弱性があることを認めています。
しかし、今回の攻撃で使われた証拠はなく、あくまでもソーシャルエンジニアリング攻撃だとしています。
カスペルスキーによると、資産額上位20の銀行の内、半分はDNSを自分で管理せず、ハッキングされる可能性のある第3者に預けており、今回の攻撃はDNSのセキュリティに関する警告になると考えています。