なんとなく綴ってみた

アクセスカウンタ

zoom RSS NTTのNetcommunity OGのDNS設定を不正変更する攻撃が急増。

<<   作成日時 : 2018/04/06 11:52   >>

面白い ブログ気持玉 2 / トラックバック 0 / コメント 0

IT Mediaの記事だが、内容を見る限りルーティング設定を無効にしている環境で且つ、rootパスワード(管理者パス)をデフォルトのままで運用している企業が対象のようだ。まあ、よくある無作為攻撃にたまたま合致したのがこれなのだろうが、中小企業に限らず、大手でもこの手の管理が行き届いていない組織や部署はある。
そこをどのように、改善するのかが課題であろう。

http://www.itmedia.co.jp/news/articles/1803/30/news106.html
https://www.asahi.com/articles/ASL446KLKL44ULZU016.html
https://www.ntt-east.co.jp/info/detail/180328_01.html


記事を読んで面白いなと思った。こんな書き方をされるのかと……新手でもないし、難しい手法でもないのだが……。


DNSアドレス書き換えは、2010年代に入って急増した。確か、この手のウィルスは2014〜15年頃に北米や欧州で、急増した攻撃である。DNSキャッシュポイズニングの発展応用と言える。

まず、DNSとはDomain Name Systemの略である。簡単に言えば、World Wide Web(www)アドレスをIPアドレスに変換するための住所録のようなものだ。


もっと、具体的に、電話番号という形で説明しよう。要は住所録や電話帳のようなものだ。名前は知っていても、電話番号を覚えていない。そんなに時に、スマホの電話帳から名前を検索して、電話を掛ける、メールを送る、SMS/SNSを送信するなんて人は多いだろう。

もし、それがなければ多くの人は、共通の友人で、電話番号を知っている人を探して、電話番号を確認して、そこから公衆電話に走って電話を掛けるだろう。

いや、固定電話なら104番号案内や電話ボックスを探してタウンページなどを調べるかもしれない。

最悪は、どこにいるか分からない本人を探して聞き出すパターンや本人からの連絡を待つ方法だ。


自分の手元にある電話帳やスマートフォンの電話帳は一般にLocalhostsと呼ばれる。これも、DNSアドレスの一種だ。OSのhostsやlmhostsと呼ばれるファイルに定義される。

次の共通の友人というのが近くにあるDNSキャッシュサーバー、親となるリストからコピーされた住所録や電話帳である。

そして、電話ボックスなど公共の場にあるのが、DNSネームサーバーやドメインサーバーである。この場所は基本的に廃止されない限り揺るがない。

最後が、当人を探して、自分のアドレス帳(loaclhosts)に登録する方法だ。一つ一つIPアドレスを手打ちすることになる。


キャッシュポイズニングというのは、このうちのDNSネームサーバーやキャッシュサーバーの内容を書き換える攻撃手法である。2000年代中頃から攻撃が始まり、2010年代初頭に本格的に広まり始めた。数年前に最大期を迎え、その問題が大きくなったことで、サーバー管理者はファイルアクセス権限をある条件を満たさない限り参照のみに変更(それまでは、簡単に外部からの書き換えが出来たサーバーも多かった)することで、攻撃は大幅に減少した。


それを応用したのが今回の攻撃だ。

端的に言えば、サーバーを立てる。そこに有力サイトに見立てて作った不正な有名サイトの変換アドレスをいくつか登録しておく、そしてパスワードなどの強度が甘いルータなどを攻撃し、そこにスクリプトを送り込んで、DNSアドレスをその不正なサーバーアドレスに変更する。

すると、ユーザーがネットに接続しようとすると、不正なDNSアドレスを持つサーバーからコピーしたDNSキャッシュの変換によって不正なIPアドレスに誘導される。要は、キャッシュポイズニングが起きる。後は、不正なページを表示すればよい。そこに、何かをインストールさせるようなメッセージを出せば、一部のユーザーはインストールしてくれる。
そして、さらにマルウェア感染が広がるというわけだ。これは、根幹またはそれに連なるサーバー群より、一つ下の友人を狙った方法である。

Localhostsまで侵食させれば、botsnetに自宅のコンピュータや会社のコンピュータが仲間入りするわけだ。


怖い話だ。ただ、これらの攻撃はパスワードの設定が不十分な場合と、セキュリティ脆弱性が残っている環境で発生することが多い。即ち、管理が疎かな場合である。


尚、今回がどうなのかは分からないが、この手の攻撃で怖いのは、初期化(リセット)を行っても攻撃スクリプトがデバイス側に残るタイプの場合である。海外では実際にそういう攻撃も昨今は増えている。この場合、駆除にコンソール接続(Telnet)が必要となったり、外部ネットワークからの隔離が必要となるケースもある。だから、必ず、デフォルトパスワードでの運用は避けなければいけない。また、短いパスワードを設定してはいけない。


という話だが、実はこれで終わりではない。この手の攻撃にはもっと高度なものが既に広がっており、この対策だけでは実は不十分になりつつあるのだ。しかし、日本ではあまりその注意喚起が行われていない。なぜか?日本の場合は、これらの対策を行うのはプロフェッショナルであり、個人には関係ないと思われている点がある。

未だに、アップデートをしなさいとか、そのレベルの記事が初心者向けのサイトに書かれるのだから……。


<セキュリティ対策はネットワークに繋がる機材から>

米国等では、既にセキュリティ機材のアップデート更新も自分で行うことというルールが定常化しつつある。
そして、最も重要な点として、セキュリティ機材の更新が終わっているか、既に古い場合は買替えを促している。

簡単に言えば、ルータが古い、スイッチが古い既に保守がないなら、買い換えろよと言う訳だ。
日本は、少なくとも官公庁が特定の機材を除いて、そこまで書いているケースはないと思われる。
個人向けなら既にある程度広まっているはずだ。何せ、IoTデバイス攻撃は既に数百万台規模で起きているのだから……。

他にもある。高いセキュリティを必要とするデータを共有管理するネットワークと、一般的なローカルネットワーク。さらに、インターネットに繋がるオープンネットワークがある場合、その間のL3スイッチやルータでは、アクセス制限を設けることが指定されている。簡単に言えば、使わないポートは閉じること。使うポートも使う権限(PCやサーバー)を特定することという点だ。

さらに、ネットワークやシステム管理者がリモートでサーバーやホスト、クライアントにアクセスする場合には、全てセキュアな通信を使うこと。パスワードを難読化すること。セキュリティセッションが確立できるようにオープンネットワークではVPNなどを導入することが推奨されている。


<怖いのは長年問題が起きていないこと>

個人でも、企業でも最も怖いのは、昨日も今日も大丈夫だったという流れである。
もっと正確に言えば、1年間同じ環境で問題が起きなければ、その1年が信頼の実績となる。これが5年になれば、5年間大丈夫なのだ。10年や15年経てばうちは鉄壁だと思う。

これは、その物事に対してあまり興味が無い人や、形だけ知っている人、過去に興味があって今は興味を失っている人に多い発想だ。このうち2番目と3番目は中途半端に調べているので特に怖い。

なぜか?

そもそも、セキュリティ環境は年々変わる。15年前はクライアントのウィルスで済んだものが、5年経過してアップデートが掛かるウィルス。10年経過してスパイウェアやルートキット、15年後にはルータに感染するウィルスや、ブラウザスクリプトによるグレ−な(利用者許諾のない)マイニングリソース供給スクリプトなど。

この中には、Windows Defenderで十分などと思っていても、Defenderでは止められないものもある。(Defender ATPだと設定次第で止めることが出来る攻撃やグレースクリプトもある)というのを、知らずにそれだけで安全だと使っている人もいるし、他のソフトだから安全という人もいる。

それらは、表面上の問題が起きていないことと、世間の評価を見て、正しいと思って仕舞っている。
実を言えば、表面上だけの人と過去に縛られた人は、情報の範囲が狭かったり、情報が古くて新しい攻撃や脅威になり得るものを知らないケースも多いのだ。

結果的に、これまでも大丈夫だったから、これからも大丈夫だと誤認する。
すると、気が付いた時には手遅れになる。

その発想を置き換えるために、本来は官公庁が一般向けの情報をもっと出せば良いが、日本はもう10年以上止まっている。若者向けの漫画ブックレットなどは出しているが、それも微妙で、大の大人が読むかどうかも微妙だ。その一方で、セキュリティ情報は、単発的なものばかりを出すだけで、初心者ページは未だに、セキュリティソフト、セキュリティアップデートぐらいだ。

ネットワークに繋がる機材が脆弱であれば、全体が攻撃を受けるというリスクは、あまり書かれない。だから、メーカーもその対策をイヤイヤやる。これからのハードだけ自動アップデートで見たいな話になるメーカーも出てくる。個人や企業もパスワードを標準から変更して、強くしようなんて考えない。

攻撃は狙われた機器ごとに繰り返され、ニュースになる。


<情報がどこで何に使われるのかも変わっている>

最後に、データが漏れても実害がなければ安全などと思ってはいけない。前橋の情報漏洩問題を見て思ったのだが、DMなどによる不正を気にする組織や人が多いのがどうも気になった。この攻撃がもし海外からのものであると仮定した場合、最も危険なのは海外での身分証の偽造やなりすましである。パナマ文書で、先進国に住む普通の人の名前が、なぜかそこに書かれて租税回避に使われていた形跡があるなんて話も、多少出てきたのを知っていると分かるだろう。

今のパナマでできるとは思えないが、それがアフリカならどうだろう?という話だ。直接的に本人へ危害を与えて、利益を得るのも確かに個人情報使い方だが、アングラ(ダークウェブ)で入手した情報を、不正の隠れ蓑に使う手法も昔からある。要は、名義借り、名義貸しだ。日本では禁止され決して2人同じ人が生まれることは無くなりつつあるが、それがインフラや法の整備が弱い国で、かつネット上なら別だろう。

日本語圏の本人に知られずに、海外で別人の自分がいるなんて、情報が官公庁や大手の企業ならほぼ正確で美味しい。

昔は、一斉に不正メールを送るのに使われていたため、漏れて使われたら分かっていたが、今は海外に漏れると、基本的に一斉攻撃に使われるとは限らない。場合によっては、上記のような使われ方を数名だけして、数百人に不正メールが届いて、数千人にはオレオレ詐欺かもしれない。

一部の人は、SNSに不正アクセスされて、顔写真があれば、それもより詳しい個人情報としてマッチングされ、一部の人は生年月日のパスワードを探されるなんてこともあり得る。

全部を明くる日に一度に使われれば、誰だって警戒する。しかし、使われるのが小出しで5年10年掛けて、自分とは関係ない場所とか、それぞれに違う手法の使われ方をすれば、どこから漏れたのかも分からない。

即ち、悪事を働く人は、攻撃だけが上手くなっているわけではない。情報の使い方も上手くなっており、使われないから大丈夫と油断を誘う方法も学習しているのだ。そうなると、セキュリティの重要性はよりぐっと上がるが……。そこまで、伝える人もまた日本には少ない。

だから、記事もその攻撃だけを抜粋して書くことは増えるが、全体の防御を高めようという内容にはならない。あんなに、他のニュースでは、専門家がこうすべきというが、セキュリティは専門家がこうすべきも、それに対するものだけである。

まあ、英語が公用語ではないため、どうしても日本の中だけの情報が広がるから、難しいところである。


<守ることは、常に情報を仕入れ考え方を変更していくこと>

正直、攻撃から身を守るのは難しい。トランプ政権が、銃撃から身を守るには武器を携帯すべきと言っていたが、先に攻撃されて、乗っ取られた後に反撃は出来ない。相手が攻撃しようとしたとして、攻撃をすれば、相手がポケットに手を突っ込んで携帯電話を出しただけなのに、撃ってしまい。自分たちが悪者というのは、米国では警察の発砲事件で頻繁にある。まあ、こっちの方が基本的には簡単だから、米国では使われる。

守ることの方が攻撃するより、常に攻撃の手法を意識し続け、鍛錬を続け、賢くなければ出来ない難しいことだ。
攻撃するのは、簡単だ何せ自分が正しいと主張するか、間違っていれば謝罪すれば良い。後は流れと運だけだ。

この守りを、如何に継続的に浸透させるか?はこれまでもこれからも課題だが、今の日本で足りないのは、守り方の指標が未だに、端末1台単位を前提にしていることだろう。ネットワークの中で一番弱い部分が狙われるという発想に、世間一般の考え方を切り替えることが最優先だ。










テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 2
面白い 面白い

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
NTTのNetcommunity OGのDNS設定を不正変更する攻撃が急増。 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる