ホスティングプロバイダーの LeaseWeb は、攻撃者にドメイン名を乗っ取られた最新の有名企業となり、技術に精通した企業にとっても DNS (ドメインネームシステム) ハイジャックが重大な脅威であることを浮き彫りにしました。
土曜日の短時間、同社のメインウェブサイトであるleaseweb.comが、同社が管理していないIPアドレスにリダイレクトされました。これは、攻撃者が同社のドメイン名の認証済みネームサーバーを変更する、いわゆるDNSハイジャック攻撃によるものでした。
DNS レコードがインターネット サーバーを介して伝播される方法と、一部の DNS リゾルバーが他の DNS リゾルバーよりも長い期間レコードをキャッシュするという事実により、すべてのユーザーがこのインシデントの影響を受けたわけではありません。
しかし、影響を受けて同社の Web サイトにアクセスしようとしたユーザーは、KDMS Team と呼ばれるハッカー グループが攻撃を行ったとする Web ページにリダイレクトされました。
不正なページには、「あなた方はセキュリティのないホスティング会社ですか」「あなたのホストしているサイトはすべて私たちのものです」といったハッカーからのメッセージが含まれていた。
「これまでのセキュリティ調査では、leaseweb.com以外のドメインへのアクセスや変更は確認されていません」と、LeaseWebは問題解決後の日曜日のブログ投稿で述べています。「社内システムへの侵入はありませんでした。当社が実施しているセキュリティ対策の一つとして、顧客データは公開サーバーとは別に保管しています。今回のDNSハイジャックによって顧客データが侵害されたという兆候は見られません。」
LeaseWebは、パブリッククラウド、プライベートクラウド、専用ホスティング、コロケーション、コンテンツ配信サービスを提供する大手プロバイダーで、米国、ドイツ、オランダに子会社を有しています。中小企業から大企業まで15,000社以上の顧客を抱え、世界のIPトラフィックの約4%を管理していると主張しています。
まあ、恥ずかしいですね
LeaseWeb は、攻撃者がどのようにして自社のドメイン名の DNS レコードを変更できたかをまだ調査中ですが、攻撃者は LeaseWeb がドメインを購入したドメイン レジストラのドメイン管理者のパスワードにアクセスしたようです。
スピアフィッシングが攻撃の一部だった可能性はあるが、現時点では調査が継続中であるため決定的な答えはない、とリースウェブの上級法律顧問アレックス・デ・ジョード氏は月曜日に電子メールで述べた。
この攻撃により、不正なDNSレコードが設定されている間に@leaseweb.comのアドレスに送信されたメールは、同社のメールサーバーに届きませんでした。攻撃者がこのドメインを指定していた不正なWebサーバーにはメールサービスが設定されていなかったため、メールメッセージは侵害されなかったとde Joode氏は述べています。
また、この不正な Web ページがマルウェアを配布したり、認証情報を盗むために使われたりしたという兆候もない、と同氏は述べた。
攻撃者は、WHMCSの課金・サポートソフトウェアに最近発見された脆弱性を悪用して攻撃を実行したのではないかとの憶測が広がっています。このソフトウェアは、特にウェブホスティング会社でよく利用されています。
LeaseWeb 自体は WHMCS を使用していないが、同社のドメイン登録業者がこのソフトウェアを使用しているかどうかは不明だと de Joode 氏は語った。
「このインシデントの再発を短期間で防ぐため、直ちに対策を講じました」と彼は述べた。「また、現在行われている調査の結果に基づき、ドメインのセキュリティポリシーを更新する予定です。」
ドメイン名のDNSレコードを乗っ取り、不正なウェブサーバーにリダイレクトすることでウェブサイトを改ざんする手法は、ハッカーの間でよく使われる手法です。攻撃者は通常、正規ユーザーからログイン認証情報をフィッシングで入手するか、ドメインレジストラの従業員を騙して標的のアカウントのパスワードをリセットさせることで、ドメイン管理者パネルへのアクセスを取得します。
8月、シリア電子軍(SEA)と呼ばれるハッカー集団がスピアフィッシング攻撃を用いて、nytimes.com、sharethis.com、huffingtonpost.co.uk、twitter.co.uk、twimg.comのドメイン名を一時的に乗っ取りました。SEAはシリアのバッシャール・アル・アサド大統領とその政権を公に支持しており、彼らの攻撃のほとんどは政治的な声明です。
LeaseWeb は現時点では、Team KDMS の標的となった理由を把握していないと de Joode 氏は語った。
DNSハイジャックは、ウェブサイトの改ざんよりもはるかに深刻な結果をもたらす可能性があります。攻撃者はこの手法を用いて、ユーザーをフィッシングサイトへ誘導し、認証情報を盗み出したり、エクスプロイトキットを用いて不正なウェブサーバーへの訪問者にマルウェアを感染させたりする可能性があります。
DNSレコードの不正な変更を防ぐため、ドメイン所有者はレジストラにドメインのレジストリロックを設定するよう依頼することができます。このロックはレジストリレベル(.com、.net、.orgなどのドメイン拡張子を管理する企業)で設定され、ドメインレジストラが侵害された場合でもDNSレコードの変更がはるかに困難になります。
