セキュリティ企業がサイバー攻撃の被害に、ドメイン登録業者が盲点

セキュリティ企業「Fox-IT」のDNS情報が何者かに改ざんされ、トラフィックが攻撃者のサーバへ一時的にリダイレクトされる被害に遭った。

　ドメイン登録情報を改ざんされて、トラフィックを傍受される被害に遭ったセキュリティ企業が、今後の教訓として共有する目的で、攻撃の経緯などに関する事実関係を公表した。

　通信に割り込まれる中間者攻撃の被害に遭ったのは、オランダのセキュリティ企業「Fox-IT」だ。同社のブログによると、9月19日にサードパーティーのドメイン登録業者が何者かに不正アクセスされ、「Fox-IT.com」のドメインのDNS記録が改ざんされて、Fox-ITが顧客との電子メールのやり取りなどに使っていたClientPortalのサーバへのトラフィックが、攻撃者のサーバへ一時的にリダイレクトされていた。

Fox-ITのブログ

　実質的な中間者攻撃は10時間あまりで食い止めたとしているが、その間に、少数のファイルや情報が攻撃者に傍受されたという。Fox-ITは捜査当局に通報するとともに、DNSの設定を元に戻して、ドメイン登録業者のアカウントのパスワードを変更し、20日までには復旧させた。「Fox-ITの社内あるいは社外のシステムがアクセスされた事実はなく、ClientPortalに対するシステムレベルでのアクセスもなかった」としている。

　その後の調査で、攻撃者は正規のユーザー名とパスワードを使って、ドメイン登録業者のDNSコントロールパネルにログインしていたことが判明した。攻撃者がパスワードなどをどこから入手したのかは不明だが、サードパーティープロバイダーを通じて流出した可能性が高いと同社は見ている。

　パスワードが2013年から変更されていなかったことも、攻撃を招く一因になったと同社は分析する。2段階認証が使われていれば被害は防げたかもしれないが、ドメイン登録業者を選んだのは18年前のことで、当時2段階認証は一般的ではなかった。「この業者が今も2段階認証に対応していないことを知って驚いた。自分のDNS登録業者が2段階認証に対応しているかどうか確認する価値はある」とFox-ITは指摘する。

　こうした教訓から、Fox-ITでは、たとえ滅多に使わないものであっても、システムにアクセスするためのパスワードは定期的に見直して変更することが望ましいと勧告している。