orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。



Emergency Directive 19-01「DNSインフラストラクチャ改ざんの軽減」

f:id:orangeitems:20190124120323j:plain

 

DNSの改ざんが多発しているとのこと

アメリカ政府も閉鎖が長期化する中でよくやっているなと思いますが、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が緊急指令を各省庁に出したそうです。

 

www.itmedia.co.jp

米連邦政府機関でWebサイトのドメインのDNSインフラが改ざんされる被害が多発しているとして、米国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は1月22日、全省庁に緊急対策を指示した。

 

記事内には緊急対策命令のリンクがないので調べるとともに、内容を調査しました。

 

 緊急指令

下記が、実際に公開されている指令です。

 

cyber.dhs.gov

 

具体的な攻撃手法

どんな攻撃手法なのかなあと思ったところ、以下の記載がありました。

次の手法を使用して、攻撃者はWebおよびメールのトラフィックをリダイレクトして傍受し、他のネットワークサービスに対しても同様のことを実行できます。

1. 攻撃者はまず、DNSレコードを変更する可能性のあるアカウントのユーザー資格情報を危険にさらすか、別の方法でそれらを取得します。

2. 次に、攻撃者はAddress(A)、Mail Exchanger(MX)、またはName Server(NS)レコードなどのDNSレコードを変更して、サービスの正当なアドレスを攻撃者が制御するアドレスに置き換えます。これにより、ユーザートラフィックを合法的なサービスに渡す前に、ユーザートラフィックを操作または検査のために独自のインフラストラクチャに振り向けることができます。これは、トラフィックのリダイレクト期間を超えて持続するリスクを生み出します。

3. 攻撃者はDNSレコード値を設定できるため、組織のドメイン名に対して有効な暗号化証明書を入手することもできます。これにより、リダイレクトされたトラフィックを復号化して、ユーザーが送信したデータを公開することができます。証明書はドメインに対して有効であるため、エンドユーザーはエラー警告を受け取りません。

この活動によってもたらされる政府機関の情報および情報システムに対する重大かつ差し迫ったリスクに対処するために、この緊急指令は、未知の改ざんによるリスクを軽減し、各機関に対する不正なDNS活動を防止し、無許可の証明書を検出できます。

 単純な話で、DNSサーバーの管理権限を奪われたらのっとられますよ、ということです。

・Aレコードを書き換えて、フィッシングサイトを構築されたり別のサイトを表示したりできる
・NSレコードを書き換えて、悪意のある別のDNSサーバーに振り向けられ、名前解決を自由にコントロールされてしまう。
・MXレコードを書き換えて、メールを全部取られる
・名前解決できればドメイン認証で正当なサーバー証明書が取得できてしまう

まあ当たり前の話ですね。当たり前なのに指令が下りるということは、乗っ取りが成功する事例が発生しDNSサーバーの管理品質が低いことが明らかになったためだと思います。

 

必要なアクション

指令の中にある必要なアクションが興味深かったので触れておきます。

対応1:DNSレコードの監査

10営業日以内に、すべての.govまたはその他の代理店管理ドメインについて、すべての権限のあるDNSサーバーとセカンダリDNSサーバーのパブリックDNSレコードを監査し、目的の場所に解決されることを確認します。そうでない場合は、CISAに報告してください。

CISAは、NSレコード、および組織のユーザーおよび一般に提供される主要なエージェンシーサービスに関連するもの(たとえば、エージェンシーの任務の中心となるWebサイト、MXレコード、またはその他の利用率の高いサービス)を優先することを推奨します。

対応2:DNSアカウントのパスワードを変更する

10営業日以内に、代理店のDNSレコードを変更する可能性があるシステム上のすべてのアカウントのパスワードを更新します。

CISAは、複雑で一意のパスワードを容易にするためにパスワードマネージャを使用することを推奨しています。

対応3:DNSアカウントに多要素認証を追加する

10営業日以内に、代理店のDNSレコードを変更する可能性があるシステム上のすべてのアカウントに対して多要素認証(MFA)を実装します。

MFAを有効にできない場合は、CISAにシステムの名前、必要なスケジュール内に有効にできない理由、および有効にできるタイミングを指定します。

CISAは、フィッシングに対して回復力のある追加の要素を使用することをお勧めします。NIST SP 800-63bに準拠して、ショートメッセージサービス(SMS)ベースのMFAはお勧めできません。

対応4:証明書の透明性ログの監視

10営業日以内に、CISAは、Cyber​​ Hygieneサービスを介して、新たに追加された証明書を代理店ドメインのCertificate Transparency(CT)ログに定期的に配信します。

受領時に、機関は直ちに彼らが要求しなかったと発行された証明書のためにCTログデータを監視し始めなければならない。機関が証明書が無許可であることを確認した場合、その証明書を発行元認証局およびCISAに報告する必要があります。

 ということで、

1)DNSレコードをもう一度確認しなさい
2)DNSサーバーを管理するIDのパスワードを変更しなさい
3)DNSレコードを扱うシステムについて、多要素認証を導入しなさい
4)証明書が正しいか確認しなさい

といった結構普通のことが書かれていますが、面白い内容も含まれています。

まず、パスワードマネージャーを使うことを推奨している点です。パスワードをおぼえることはもう非現実的で、おぼえる運用にするとabc123みたいなリスト攻撃に脆弱な文字列になってしまう件の反省ですね。

また、SMS(ショートメッセージ)で多要素認証を行うのはもはや非推奨というのも興味深いです。

あと、CTログへの定期配信というのもあまり聞きなれませんね。

 

とりあえず、DNSサーバーへの攻撃が流行していることは頭に入れておくべきで、JPCERTやIPAもおそらく周知して来るのではないかなあと思います。