セキュリティ企業がサイバー攻撃の被害に、ドメイン登録業者が盲点
セキュリティ企業「Fox-IT」のDNS情報が何者かに改ざんされ、トラフィックが攻撃者のサーバへ一時的にリダイレクトされる被害に遭った。
ドメイン登録情報を改ざんされて、トラフィックを傍受される被害に遭ったセキュリティ企業が、今後の教訓として共有する目的で、攻撃の経緯などに関する事実関係を公表した。
通信に割り込まれる中間者攻撃の被害に遭ったのは、オランダのセキュリティ企業「Fox-IT」だ。同社のブログによると、9月19日にサードパーティーのドメイン登録業者が何者かに不正アクセスされ、「Fox-IT.com」のドメインのDNS記録が改ざんされて、Fox-ITが顧客との電子メールのやり取りなどに使っていたClientPortalのサーバへのトラフィックが、攻撃者のサーバへ一時的にリダイレクトされていた。
実質的な中間者攻撃は10時間あまりで食い止めたとしているが、その間に、少数のファイルや情報が攻撃者に傍受されたという。Fox-ITは捜査当局に通報するとともに、DNSの設定を元に戻して、ドメイン登録業者のアカウントのパスワードを変更し、20日までには復旧させた。「Fox-ITの社内あるいは社外のシステムがアクセスされた事実はなく、ClientPortalに対するシステムレベルでのアクセスもなかった」としている。
その後の調査で、攻撃者は正規のユーザー名とパスワードを使って、ドメイン登録業者のDNSコントロールパネルにログインしていたことが判明した。攻撃者がパスワードなどをどこから入手したのかは不明だが、サードパーティープロバイダーを通じて流出した可能性が高いと同社は見ている。
パスワードが2013年から変更されていなかったことも、攻撃を招く一因になったと同社は分析する。2段階認証が使われていれば被害は防げたかもしれないが、ドメイン登録業者を選んだのは18年前のことで、当時2段階認証は一般的ではなかった。「この業者が今も2段階認証に対応していないことを知って驚いた。自分のDNS登録業者が2段階認証に対応しているかどうか確認する価値はある」とFox-ITは指摘する。
こうした教訓から、Fox-ITでは、たとえ滅多に使わないものであっても、システムにアクセスするためのパスワードは定期的に見直して変更することが望ましいと勧告している。
関連記事
- ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」
「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER:Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。 - 人気iOSアプリ76本に中間者攻撃の脆弱性、TLS通信傍受や改ざんの恐れ
人気iOSアプリ76本で、TLSで守られているはずの接続に対して中間者攻撃を仕掛けて、移動中のデータの傍受や改ざんができてしまうことが分かった。 - iPhoneをなくして分かる、二要素認証の落とし穴
このコラムでもセキュリティ対策としてお勧めしている「二要素認証」。しかし、あるシーンで思わぬ壁にぶち当たったのです……。 - 「社長がセキュリティを理解しない会社など、辞めた方がいい」 セキュリティジャーナリストが吠えた
米McAfeeの年次イベント「MPOWER: Cybersecurity Summit」。2日目の基調講演では、セキュリティブログ「Krebs on Security」を運営するITセキュリティジャーナリスト、ブライアン・クレブス氏が講演した。そこで語られた赤裸々な提言とは……?
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.