連載
» 2018年11月30日 05時00分 公開

ビジネスインフラを狙う攻撃にどう対応するか(2):「だまされないように気を付ける」ことの限界――DNS、ARPが狙われるとどうなる? (2/2)

[宮田健,@IT]
前のページへ 1|2       

ブロードバンドルーターを攻撃、クライアントのDNS設定を変えると……

 2018年3月ごろに「Facebook拡張ツールバッグを取付て安全性及び仕様流暢性を向上します」というメッセージとともに始まるサイバー攻撃が話題になった。これはルーターのDNSを変更するサイバー攻撃だ。

 カスペルスキーはこれを「Roaming Mantis」と名付けている。無線LAN接続のAndroidスマートフォンに、偽のFacebookアプリをインストールさせることが目的の攻撃だ。注目すべきなのは「ルーターのDNS設定を変更する」部分だ。

 セキュリティ企業のラックは、日本国内で販売されている複数の家庭用ブロードバンドルーターをインターネットに接続する実験を行った。その結果、攻撃パケットに反応してDNS設定が変更されてしまったという。攻撃が成立する条件はさまざまだ。各ブロードバンドルーターに存在する脆弱性を利用する、初期パスワードをそのまま利用している、管理画面がインターネット側からアクセスできるといった条件があるという。

 情報通信研究機構(NICT)のNICTER Blogでは、DNSを書き換えられた際にどのようなことが起こるのか調査結果が掲載されている。それによれば、facebook.comやtwitter.com、www.google.comにアクセスした場合は正規のIPアドレスを戻すものの、それ以外のURLの名前解決では、マルウェア配布用のWebサイトのIPアドレスを戻すという。このマルウェア配布Webサイトに「Facebook拡張ツールバッグ」があり、次の段階の攻撃へとつながっていく。

 この事象に関しては、各種Webサイトの情報が詳しい。こちらも併せて参考にしたい。これは2018年3月ごろに発生した事象ではあるが、カスペルスキーのブログによれば、現在でも攻撃が継続しており、iOS向けには仮想通貨マイニングを行うWebサイトへ誘導するなど、その後の手法にも変化が表れている。

ネットワークの基礎的な部分が狙われるからこそ

 紹介したルーターのDNS書き換え手法を見ると、意外にも、初歩的な手法が最大の効果を挙げていることが分かる。

 DNS設定を変更するという攻撃に対抗するには、ルーターの設定を見直すなど基本的な確認が必要だ。そのため、いったん変更されてしまうとなかなか検知が難しいというのが実情かもしれない。

 冒頭に紹介したARPスプーフィングも、主にLAN内でしか使えない攻撃ながら、これを検知、防御する仕組みを運用している企業はどれだけあるだろうか。実際に攻撃される可能性は低いかもしれないが、通常とは違う事態が発生した時に原因の可能性を察知できるかどうかが、サイバー攻撃への初動対応の成否に直接影響するだろう。

 サイバー攻撃というと未知の脆弱性を利用し、驚くような手法を利用してくるという印象がある。だが、実情は違う。誰もが重要だと分かっているが、対応できていない部分が狙われる。

 例えば、ルーターの初期パスワードをそのまま運用している、公開すべきではないものが公開されているといった手法だ。さらに、あまりにも基礎的な技術を狙われると、攻撃に気が付かない可能性もある。@ITでは基礎に注目し、セキュリティ・キャンプ実施協議会の協力の下、基礎となる「セキュリティ用語辞典」のブラッシュアップを進めている。多くの方には自明かもしれない用語でも、新たな発見があることを願いつつ、こちらにも再度目を通していただきたい。

特集:ネットワークセキュリティの新常識 「動作する」と「企業インフラとして確実に機能する」の違い

サイバー攻撃や情報漏えい対策などの「セキュリティ」に注目が集まっている。ビジネスを止めないという意味では、普段は動き続けているかもしれないが、トラブルが即ビジネスに直結してしまう「インフラのセキュリティ」にも注目する必要がある。DNSやDHCP、無線LAN、ネットワーク監視などは、動いていることが運用できているというわけではない。正しく運用できて、はじめてリスクが極小化されるのだ。セキュリティやインフラに専任のエンジニアが張り付き、完ぺきな判断ができるという環境はまれだ。そこで、ネットワークセキュリティをキーワードに、ネットワークのインフラに近い部分に存在する落とし穴を可視化し、適切な対策を取るためにはどうしたらいいか、基礎技術や最新ソリューション、そして事例を含め紹介しよう。




前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。