今年の Virus Bulletin カンファレンスでは、Cisco Talos の研究者が最優秀賞を受賞しました。
Talos が獲得したのは「Péter Ször 賞」で、過去 1 年間に発表した DNS 攻撃に関する研究が受賞理由です。賞の名前は、Virus Bulletin の長年の貢献者であり、2013 年に亡くなった著名なセキュリティ研究者に由来しています。
「Péter Ször 賞」の目的は「1 年で最も優れた技術的なセキュリティ調査を表彰する」ことにあり、先週開催された年次 Virus Bulletinカンファレンスで授与されました。脅威研究の分野では最も権威ある賞として広く認められています。故 Szor 氏はマルウェア調査における先駆者として Symantec、McAfee、Pasteur AntiVirus の各社で勤務し、脅威ハンティングに関するいくつかの独創的な調査結果を公開した人物です。今回の授賞式では Talos の研究者である Paul Rascagneres と Warren Mercer が出席し、同時に研究も発表しました。
今回の受賞理由となった記事は、「Sea Turtle」と呼ばれる攻撃について解説した「インターネットの中核技術への信頼性を悪用する DNS ハイジャック」です。記事では、DNS の操作によりユーザに気付かれずに不正サイトへ誘導する、国家支援の攻撃者ついて概説しました。
Virus Bulletin の編集者である Martijn Grooten 氏は、「記事は Sea Turtle の手口について具体的に解説しているだけでなく、インターネットにおける DNS の弱点も浮き彫りにしています。直接的な受賞理由はこの記事ですが、Talos ブログの著者が脅威インテリジェンスの分野で多大な貢献をしているのも事実です」と述べています。
DNS はインターネットの大黒柱です。DNS に対する攻撃や不正操作が起これば、ユーザの信頼が揺らぐことも考えられます。Talos では Sea Turtle の攻撃を踏まえたうえで、国家支援の攻撃により DNS を標的にすることは、いかなる状況でも避けるべきだと訴えてきました。また、DNS や DNS の管理組織を「不可侵領域」として扱い、DNS を狙った攻撃を団結して排除するよう各国政府とセキュリティ業界に呼びかけています。
Sea Turtle の主な標的は中東および北アフリカの公的機関や民間企業です。それらの地域の国家安全保障機関を標的にしたケースすらあります。Sea Turtle の攻撃は、早ければ 2017 年 1 月にも開始されていたと考えられます。被害者の数は、少なくとも 13 ヵ国で 40 の組織に上ることが判明しています。
Sea Turtle の攻撃手口では、DNS ハイジャックにより不正サイトへ被害者を誘導します。DNS ハイジャックとはつまり DNS 名レコードの改ざんを指し、不正サイトとは攻撃者が制御する C2 サーバです。同様の攻撃について米国の国土安全保障省も 1 月 24 日に警告を発しています。警告の中では、ユーザトラフィックのリダイレクトにより暗号化証明書が盗まれた場合、被害者の組織のドメイン名内で証明書を再利用される危険性を指摘しています。
ただし DNS に関する Talos の発見は、これだけではありません。7 月には Sea Turtle が依然として活発であり、新たな DNS ハイジャック手法を利用していることも判明しました。新たな手口では、ある国のコードトップレベルドメイン(ccTLD)レジストリを不正に操作していました。ccTLD レジストリは DNS レコードを国(ドメイン)ごとに管理するためのものです。Sea Turtle は ccTLD レジストリを足がかりに、他の政府機関にも侵入しています。
DNS を狙った攻撃は当面続くでしょう。ただしこれはインターネット全体にとって危険な兆候であると言えます。最後に、記事の重要性を認めてくれた Virus Bulletin に謝意を表したいと思います。
本稿は 2019年10月10日に Talos Group のブログに投稿された「alos takes home top research honors at Virus Bulletin conference」の抄訳です。