DNS Abuseと、DNS運用者がすべきこと ~ ドメイン名ハイジャックを知ることで、DNSをもっと安全に ~

Similar documents
向き合おう、DNSとサーバー証明書 ~DNSとサーバー証明書の最近の関係を踏まえ、DNS運用者がすべきこと~

キャッシュポイズニング攻撃対策

向き合おう、DNSとサーバー証明書 ~DNSとサーバー証明書の最近の関係を踏まえ、DNS運用者がすべきこと~

経路奉行・RPKIの最新動向

IPアドレス・ドメイン名資源管理の基礎知識

DNSSECの基礎概要

058 LGWAN-No155.indd

マルウェアレポート 2018年1月度版

ルーティングの国際動向とRPKIの将来

RPKIとインターネットルーティングセキュリティ

Office 365 管理者マニュアル

LGWAN-1.indd

マルウェアレポート 2017年9月度版

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

中小企業向け サイバーセキュリティ対策の極意

クライアント証明書インストールマニュアル

PowerPoint Presentation

安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

ログを活用したActive Directoryに対する攻撃の検知と対策

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

McAfee Application Control ご紹介

マルウェアレポート 2017年10月度版

Microsoft Word - Gmail-mailsoft_ docx

DNS浸透の都市伝説を斬る~ランチのおともにDNS~

BACREX-R クライアント利用者用ドキュメント

クライアント証明書インストールマニュアル

権威DNSサーバ 脱自前運用のススメ

マルウェアレポート 2017年12月度版

マルウェアレポート 2018年3月度版

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

Mobile Access簡易設定ガイド

製品概要

ESET Mobile Security V4.1 リリースノート (Build )

<4D F736F F D E FD8936F8B4C8F8A82CC936F8B4C8AAF82CC93648E718FD896BE8F9182CC936F985E8EE88F872E646F63>

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint Presentation

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

サイボウズ リモートサービス ユーザーマニュアル

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

はじめに このマニュアルは BACREX-R を実際に使用する前に知っておいて頂きたい内容として 使用する前の設定や 動作に関する注意事項を記述したものです 最初に必ずお読み頂き 各設定を行ってください 実際に表示される画面と マニュアルの画面とが異なる場合があります BACREX-R は お客様の

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

Joi-Tab 端末管理システム最終更新日 2015 年 3 月 13 日

Pad-web 電子証明書有効期限切れへのご対応について 弊社年金制度管理システムをご利用の方は 同システムのマニュアルをご参照ください 第 1.3 版 初版作成 : 2015/8/28 最終更新 : 2018/5/9

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

JPNICプライマリルート認証局の電子証明書の入手と確認の手順

目次 はじめに 1サーバ作成 2 初期設定 3 利用スタート 付録 Page.2

Microsoft Word - Gmail-mailsoft設定2016_ docx

SSB_G_ver1.0_2013.8

サイボウズ リモートサービス ユーザーマニュアル

2. インストール完了画面の 開く をタップするか ホーム画面 AnyConnect のアイコン をタップし アプリケーションを起動してください or 3. OK をタップし 順に従い 接続 をタップしてください AnyConnect は デバイスに関する情報 (IMEI など ) にアクセスする必

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

DNS関連動向Update ~ドメイン名関連~

改定履歴 Version リリース日改訂内容 年 5 月 1 日 OS バージョンアップに伴い 以下の項目の手順 画像を修正しました 3 スマートフォン (Android 6.0) の設定例 を 3 スマートフォン (Android ) の設定例 に修正しました 4

2 0. 事前準備

PowerPoint プレゼンテーション

Transcription:

DNS Abuse と DNS 運用者がすべきこと ~ ドメイン名ハイジャックを知ることで DNSをもっと安全に ~ 2019 年 5 月 31 日 Internet Week ショーケース in 仙台株式会社日本レジストリサービス (JPRS) 森下泰宏 本資料は Internet Week 2018 ランチセミナー資料の Update 版です Copyright 2019 株式会社日本レジストリサービス 1

講師自己紹介 森下泰宏 ( もりしたやすひろ ) 所属 :JPRS 技術広報担当 主な業務内容 : ドメイン名 DNS に関する技術広報活動全般 < 略歴 > 1988 年 1993 年 1998 年 2001 年 独立系 SIer に入社 1990 年より WIDE Project メンバーとして 日本のインターネット構築に創始期より参加 学校法人東京理科大学情報処理センター着任キャンパスネットワーク及び教育用システムの設計 構築 運用を行う 社団法人日本ネットワークインフォメーションセンター (JPNIC) 着任 JP ドメイン名登録システム及び JP DNS の管理運用に従事 株式会社日本レジストリサービス (JPRS) に転籍 DNS に関する技術研究を中心に活動 2007 年同社技術広報担当として DNS およびドメイン名関連技術に関するプロモーション全般を中心に活動中 ( 現職 ) Copyright 2019 株式会社日本レジストリサービス 2

JPRS 著 監修 DNS がよくわかる教科書 発売日 :2018 年 11 月 22 日 ( 木 ) 著者 : 渡邉結衣 佐藤新太 藤原和典 監修者 : 森下泰宏 出版社 :SBクリエイティブ株式会社 定価 : 本体 2,280 円 + 税 ISBN:978-4-7973-9448-1 A5 版 /332 ページ JPRS ブースに見本誌があります! Copyright 2019 株式会社日本レジストリサービス 3

本日の内容 1. DNS Abuseとドメイン名ハイジャックの基本 2. ドメイン名ハイジャックの主な事例 3. ドメイン名ハイジャックの分析 4. DNS 運用者がすべきこと Copyright 2019 株式会社日本レジストリサービス 4

1. DNS Abuseとドメイン名ハイジャックの基本 DNS Abuse/Domain Abuseとはドメイン名ハイジャックとは DNS Abuseとドメイン名ハイジャックの関係ドメイン名ハイジャックの標的と攻撃例 Copyright 2019 株式会社日本レジストリサービス 5

DNS Abuse/Domain Abuse とは Abuse = 不正行為 DNS Abuse/Domain Abuse = ドメイン名の不正使用により実行される不正行為 DNS AbuseとDomain Abuseは 明確に使い分けられていない 本資料では以降 DNS Abuse を使用 DNS Abuse による不正行為の例 偽造品 違法薬物の販売 フィッシングサイトの立ち上げ マルウェアの注入 遠隔操作 機密情報の盗難など Copyright 2019 株式会社日本レジストリサービス 6

ドメイン名ハイジャックとは ドメイン名の管理権限を持たない第三者が 不正な手段で他者のドメイン名を自身の支配下に置く行為 さまざまな不正行為 = Abuseにつながる DNS Abuseのための手段の一つ Copyright 2019 株式会社日本レジストリサービス 7

DNS Abuse とドメイン名ハイジャックの関係 ドメイン名ハイジャックは DNS Abuse のための手段の一つ ドメイン名ハイジャック DNS Abuse/Domain Abuse 以降では ドメイン名ハイジャックにフォーカスを当てて解説 Copyright 2019 株式会社日本レジストリサービス 8

ドメイン名ハイジャックの標的と手法の例 (DNS の構成要素 データに対する攻撃 ) A) TLD の権威 DNS サーバー ネームサーバー情報の不正変更 ドメイン名の不正移転 B) 各組織の権威 DNS サーバー 不正なデータを設定 C) フルリゾルバー ( キャッシュ DNS サーバー ) キャッシュポイズニング D) 利用者側の機器 DNS 関連設定の不正書き換え C) D) フルリゾルバー キャッシュ 利用者側の機器 A) B).( ルート ) example.tld 権威 DNS サーバー Copyright 2019 株式会社日本レジストリサービス 9 TLD

ドメイン名ハイジャックの標的と手法の例 ( 登録情報の不正書き換え ) 登録情報の流れのどこかで 不正書き換えを実行 登録者 レジストラ レジストリ TLD 権威 DNS サーバー example.tld ネームサーバー情報登録者情報 etc example.tld ネームサーバー情報登録者情報 etc example.tld ネームサーバー情報登録者情報 etc example.tld 不正な NS レコード 1) 2) 3) 4) 1) 登録者になりすまして レジストラのデータベースを書き換え 2) レジストラのシステムの脆弱性を突き データベースを書き換え 3) レジストラになりすまして レジストリのデータベースを書き換え 4) レジストリのシステムの脆弱性を突き データベースを書き換え example.tld 偽権威 DNSサーバー ( 緊急 ) 登録情報の不正書き換えによるドメイン名ハイジャックとその対策について <https://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html> Copyright 2019 株式会社日本レジストリサービス 10

ドメイン名ハイジャックの標的と手法の例 ( 構成要素間の通信に対する攻撃 ) 権威 DNS サーバー フルリゾルバーに対する経路ハイジャック 偽の経路情報を広告してネットワークトラフィックを乗っ取り 偽のサーバーに誘導する a) 利用者 フルリゾルバー b) フルリゾルバー 権威 DNS サーバー 意図的なものと 設定ミスによる経路情報の漏出がある 状況のみからは判別しづらい フルリゾルバー キャッシュ a) b) 利用者側の機器.( ルート ) TLD example.tld 権威 DNS サーバー Copyright 2019 株式会社日本レジストリサービス 11

2. ドメイン名ハイジャックの主な事例 その後の攻撃トレンドとなった事例 実際に被害が発生した最近の事例 Copyright 2019 株式会社日本レジストリサービス 12

本資料で紹介する事例 事例 ( 年 ) 攻撃の目的標的となったドメイン名 事例 1:IEDR (2012 年 ) 事例 2: 日経新聞 はてななど (2014 年 ) 事例 3:Fox-IT (2017 年 ) 事例 4: Roaming Mantis (2018 年 ) 事例 5: MyEtherWallet (2018 年 ) 示威行為 google.ie yahoo.ie など 閲覧者へのマルウェアの注入 アカウント情報の不正入手 不正なアプリのインストール アカウント情報の不正入手 仮想通貨のマイニングなど nikkei.com st-hatena.com など fox-it.com security.apple.com など ドメイン名ハイジャックの手法 登録情報の不正書き換え 登録情報の不正書き換え 登録情報の不正書き換え ホームルーターの DNS 設定の不正書き換え 仮想通貨の不正送金 myetherwallet.com 権威 DNSサー バーに対する経 路ハイジャック 特記事項 以降 同様の示威行為が約 2 年にわたり流行 日本国内における事例 攻撃の隠蔽を図った サーバー証明書の不正発行 不正使用にドメイン名ハイジャックを利用 A/AAAA が存在しないサブドメインを攻撃に使用 Google Public DNS に偽の情報がキャッシュされた 以降 攻撃の目的 標的 手法に注目する形で各事例を説明 Copyright 2019 株式会社日本レジストリサービス 13

事例 1:IEDR(2012 年 ) 目的 : 示威行為 (Webブラウザーに Hacked by **** 表示) p.9のa 標的 :google.ie yahoo.ieなど (IEDRは.ieのレジストリ) p.10の4 手法 : レジストリシステムに不正アクセスし 登録情報を不正書き換え Web サーバーのコンテンツ管理に使っていた CMS の脆弱性を利用 ( 下図 ) 特記事項 : この攻撃の後 同様の示威行為が約 2 年にわたり流行 登録情報の不正書き換えによる示威行為 組織内ネットワーク 攻撃者 プログラムをアップロード.ie Web サーバー 不正書き換え.ie レジストリ DB サーバー Copyright 2019 株式会社日本レジストリサービス 14

事例 2: 日経新聞 はてななど (2014 年 ) 目的 : 閲覧者へのマルウェアの注入 標的 :nikkei.com st-hatena.com など 手法 : レジストラ経由で登録情報を不正書き換え 具体的な手法は不詳 特記事項 : 攻撃者が不正書き換えの隠蔽を図った ネームサーバー情報の一部のみを書き換え 1~2 日程度で元の登録情報に切り戻し p.9 の A p.10 の 1 または 2 Copyright 2019 株式会社日本レジストリサービス 15

事例 3:Fox-IT(2017 年 ) 目的 : 顧客のアカウント情報の不正入手 標的 :fox-it.com(fox-it はオランダのセキュリティ企業 ) 手法 : 登録者になりすまして 登録情報を不正書き換え ログイン ID パスワードをクラック p.9 の A p.10 の 1 パスワードを長年変更しておらず 二要素認証などの認証強化は未提供 未使用 特記事項 : サーバー証明書の不正発行 不正使用にドメイン名ハイジャックを利用 HTTPS を攻撃 Copyright 2019 株式会社日本レジストリサービス 16

Fox-IT の攻撃で使われた手法 メール関連の DNS 設定を変更し メール認証を用いて正規の方法でサーバー証明書を不正発行 顧客向けポータルサイトの IP アドレスを変更して 顧客のアクセスを偽サイトに誘導 HTTPS を終端 復号後 正規のサイトに転送 1DNS を設定 DNS 3 設定内容を利用 確認 DNS で名前解決 DNS 偽サイト 管理者 Web サーバー 2 証明書の発行を申請 4 証明書を 2 証明書の発行発行を申請 認証局 4 証明書を不正発行 利用者 Web ブラウザー 不正発行された証明書で HTTPSを終端 復号 顧客向けポータルサイト Copyright 2019 株式会社日本レジストリサービス 17

事例 4:Roaming Mantis(2018 年 ) 目的 :Android デバイスへの不正なアプリのインストール ios デバイス保有者のアカウント情報の不正入手 仮想通貨のマイニングなど 標的 :security.apple.com など 手法 : ホームルーターの DNS 設定の不正書き換え 特記事項 :A/AAAA が存在しないドメイン名を攻撃に使用 security.apple.com には A/AAAA がなく 通常は直接アクセスしない MX と TXT(SPF) は設定されている 攻撃を見つけにくくするための手段の一つと考えられる p.9 の D Copyright 2019 株式会社日本レジストリサービス 18

事例 5:MyEtherWallet(2018 年 ) 目的 : 仮想通貨の不正送金 標的 :myetherwallet.com( 仮想通貨ウォレットを提供 ) 手法 : 権威 DNS サーバーに対する経路ハイジャック 偽の経路情報を広告し フルリゾルバーのアクセスを偽の権威 DNS サーバーに誘導 特記事項 :Google Public DNS に偽の情報がキャッシュ p.11 の b パブリックDNSサービスやISPのフルリゾルバー経由で顧客を攻撃 Webブラウザーの警告を無視して 先に進んだ顧客が被害に Copyright 2019 株式会社日本レジストリサービス 19

3. ドメイン名ハイジャックの分析 ドメイン名ハイジャックの変化目的 標的 手法の変化インターネットの運用形態 ユースケースの変化変化から読み取れること Copyright 2019 株式会社日本レジストリサービス 20

ドメイン名ハイジャックの変化 インターネットそのものやそれを取り巻く状況の変化により ドメイン名ハイジャックの状況も変化している 本パートでは 以下の二つに注目して分析 ドメイン名ハイジャックの目的 標的 手法の変化 インターネットの運用形態 ユースケースの変化 Copyright 2019 株式会社日本レジストリサービス 21

目的の変化 ドメイン名ハイジャックの主な目的が 示威行為や主義 主張のアピールから 実利の獲得に 目的の例 マルウェアの注入 ( 事例 2) 遠隔操作による計算機資源の不正使用が可能 アカウント情報の不正入手 ( 事例 3 4) 仮想通貨の不正送金 ( 事例 5) Copyright 2019 株式会社日本レジストリサービス 22

標的の変化 実利の獲得のため 著名企業やポータルサイトのドメイン名に加え それ以外のドメイン名も標的に 標的の例 Webサイトに埋め込むスクリプトが使うドメイン名 ( 事例 2) 顧客向けポータルサイトのドメイン名 ( 事例 3) A/AAAAが存在しないドメイン名 ( 事例 4) 仮想通貨の保持 取引に使うドメイン名 ( 事例 5) Copyright 2019 株式会社日本レジストリサービス 23

手法の変化 基本的な手法は従来と同様 従来の手法に加え 目的 標的に対応した新しい手法や 洗練された手法も出現 新しい手法の例 権威 DNS サーバーに対する経路ハイジャック ( 事例 5) 洗練された手法の例 ドメイン名ハイジャック以外の手法との組み合わせ ( 事例 3 事例 4) 攻撃の隠蔽 ( 事例 2 事例 3) Copyright 2019 株式会社日本レジストリサービス 24

インターネットの運用形態 ユースケースの変化 インターネットの運用形態の変化やユースケースの変化が ドメイン名ハイジャックにも影響 例 : パブリック DNS サービスの普及 利用者の集中 ISPに依存しないSingle Point of Failureの出現 例 : 仮想通貨の取引や フィンテックにおける利用 仮想通貨取引サイトへの攻撃 マルウェアの注入による仮想通貨のマイニング など Copyright 2019 株式会社日本レジストリサービス 25

変化から読み取れること 目的 標的 手法の変化 示威行為や主義主張のアピールから 実利の獲得に より広範囲のドメイン名が標的に 新しい手法 洗練された手法の出現 インターネットの運用形態 ユースケースの変化 新たな攻撃目標と それを狙った攻撃の出現 単純な Web サイトのハイジャックが目的であった状況から 実利の獲得のための手段の一つに変化 Copyright 2019 株式会社日本レジストリサービス 26

4. DNS 運用者がすべきこと 対策の基本的な考え方本パートで取り上げる対策とその概要 DNSをより安全にするためにおわりに :JPRSの情報発信 Copyright 2019 株式会社日本レジストリサービス 27

対策の基本的な考え方 ドメイン名 /DNS 単体ではなく 組織全体のリスクマネージメントの一環として考え 対策する必要がある ドメイン名 /DNSに関する対策としては 何をどう守るかに着目し それぞれの対策を把握 導入することが重要 何を : 守る対象は? 例 :DNS の構成要素 DNS データ 構成要素間の通信 どう守るか : その対策の効果は? 例 : ドメイン名ハイジャックの防止 ドメイン名ハイジャックの検知 対応 Copyright 2019 株式会社日本レジストリサービス 28

本パートで取り上げる対策 自組織で使っているドメイン名の状況把握 信頼できる事業者 サービスの利用 選択 事業者が提供するサービスの利用 監視サービスの導入 利用 経路ハイジャック対策 Copyright 2019 株式会社日本レジストリサービス 29

自組織で使っている ドメイン名の状況把握 個別の対策を実施するための出発点 管理対象の正確な把握 ドメイン名のライフサイクルマネージメント 技術部門 管理部門 企画部門の連携が重要 自組織で使うドメイン名 DNS の設計 どんなドメイン名をどんなサービスのために どう使うか 権威 DNS サーバー名の選定も含まれる 次の DNS Day mini 大切なドメイン名を守る で ドメイン名のライフサイクルから見た脅威 リスクとその対策が解説されます Copyright 2019 株式会社日本レジストリサービス 30

信頼できる事業者 サービスの利用 選択 マネージド DNS サービスの利用 DNS サービスのメリットとデメリット 求められる機能などについて 以下の資料にまとめられている 権威 DNS サーバ脱自前運用のススメ <https://dnsops.jp/event/20180627/dns-summer-day-2018_simamura.pdf> レジストリ レジストラ マネージド DNS サービス事業者の選択 セキュリティを向上させるサービスを提供しているか そのサービスを 自組織のドメイン名で利用可能か 各種サービスについては 次ページを参照 Copyright 2019 株式会社日本レジストリサービス 31

事業者が提供するサービスの利用 レジストリ レジストラが提供する ロックサービスの利用 レジストリロック レジストラロック ドメインロック 事業者のコントロールパネルに対するアクセス制限の利用 登録情報や設定内容の意図しない変更の防止 サービス利用における認証の強化 二要素認証やクライアント証明書などの利用 次の DNS Day mini 大切なドメイン名を守る で 管理権限を守るための認証強化とロックサービスの詳細が解説されます Copyright 2019 株式会社日本レジストリサービス 32

登録情報の監視 / 監視サービスの利用 ドメイン名ハイジャック対策の観点から監視すべき対象 レジストリのWhoisの出力内容 レジストリの権威 DNSサーバーのNS/ グルーレコードの設定内容 自組織の権威 DNSサーバーのA/AAAA/MXレコードなどの設定内容 確実な監視の実施 自前での監視 監視サービスの利用 ( 項目の追加 ) Copyright 2019 株式会社日本レジストリサービス 33

経路ハイジャック対策 以下 AS 運用者における対策の例 RPKIの導入 密なpeering IRRへの正確な設定と それに基づいたポリシーの設定 経路情報の監視 経路情報の細分化 MyEtherWallet の事件後 Amazon Route 53 の経路が /24 に 権威 DNS サーバーの経路ハイジャックは DNSSEC で検知可能 DNSSEC 検証エラーになる Copyright 2019 株式会社日本レジストリサービス 34

DNS をより安全にするために < 再掲 >ドメイン名 /DNS 単体ではなく 組織全体のリスクマネージメントの一環として考え 対策する必要がある それぞれの関係者 立場における 地道で継続的な活動 各組織のドメイン名 /DNSの運用 管理 企画担当者 DNSプロバイダー パブリックDNSサービスの運用者 ドメイン名登録者 レジストラ レジストリ etc. 活動を継続可能にするための 投資や体制作り 変化への対応 ( 新たな目的 標的 手法 ) よりよい対策の導入 実施 Copyright 2019 株式会社日本レジストリサービス 35

おわりに :JPRS の技術情報発信 JPRS DNS 関連技術情報 <https://jprs.jp/tech/> JPRS トピックス & コラム <https://jprs.jp/related-info/guide/> Internet Weekの展示ブースでも注入 JPRS 公式 SNS アカウント @JPRS_official メールマガジン FROM JPRS <https://jprs.jp/mail/> JPRS サーバー証明書発行サービス <https://jprs サーバー証明書.jp/> JPRSofficial JPRS では今後も関連各位と協力しながら さまざまな形で情報発信を続けていきます Copyright 2019 株式会社日本レジストリサービス 36

That s it! Copyright 2019 株式会社日本レジストリサービス 37

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック