組織のドメインネームシステム(DNS)クエリを定期的にモニターすれば、攻撃を受ける前に排除することができます。少なくとも、重大なセキュリティ侵害につながる可能性のある設定の不備を特定して修正することが重要です。
ネットワーク内のほとんどの DNS クエリは、ユーザのアプリケーションによって自動的に作成されます。たとえば、Web ブラウザに「talosintelligence.com」と入力すると、ブラウザは DNS クエリを実行して、何の問題もないこのドメイン名をインターネットの IP アドレスにマッピングします。ただし DNS クエリでは、さまざまな理由でドメイン名に対応する IP が見つからないことがあります。ドメイン名の入力ミスもその理由の 1 つです。DNS ルックアップが一定の間隔で失敗する場合や、何回も失敗する場合は、どこかに設定不備があるかもしれません。このような設定不備により、組織のネットワークにセキュリティ上の欠陥が生じ、ドメイン名の入力ミスを狙ったタイポスクワッティング攻撃やフィッシング詐欺の危険にさらされる可能性があります。
Cisco Talos は、攻撃者のインフラの一部を構成していたか、おそらく現在も標的にされているネットワークやドメイン名を定期的にモニターしています。パッシブ DNS をモニターしていると、ドメイン名が未登録で、どう見ても存在しないドメインであるにもかかわらず、大量のインターネットトラフィックを受信するドメイン名が見つかることがあります。
偶然の自動検出
Talos はこのほど、未登録のドメイン名「tiburoninc.net」を偶然発見しました。元々は Tiburon という会社が所有、運用していたドメインです。Tiburon 社の旧 Web サイトでは、「当社は、州、地方、連邦の法執行機関、消防救助機関、矯正施設の厳しい要求を満たすために構築された、コンピュータ支援による派遣、モビリティ、記録管理、および矯正管理ソリューションを提供しています」と説明されていました。
2015 年、Tiburon 社は TriTech 社に買収されました。LinkedIn では次のように発表されています。「Tiburon のお客様と社員を TriTech ファミリに迎えることを光栄に思います。Tiburon は 30 年以上にわたり、米国および世界の最大規模、最先端の機関に公共安全ソフトウェアを提供してきました。今回の買収により、TriTech のお客様のリストに、世界 13 ヵ国、2 億 5,000 万人を超える人々を守りサービスを提供している、最も評価の高い警察機関、消防機関、救急医療機関が加わることになりました」。
新たな所有者である TriTech 社は、2018 年に他の数社と合併し、新会社 CentralSquare Technologies 社が設立されました。CentralSquare 社は Tiburon のドメイン名の有効期限(2019 年 4 月)を更新しませんでした。しかし、パッシブ DNS データを見ると、このドメインに対するインターネットトラフィックが依然として相当ありました。Umbrella Investigate のテレメトリによると、DNS トラフィックが毎日増加していました。残念ながら、単に DNS トラフィックが大量にあったとしても、クエリの種類までは分かりません。Umbrella に表示される DNS トラフィックには、MX サーバに対するクエリ、Web サーバのアドレスに対するクエリ、SPF レコードに対するクエリなどがあります。多くの場合、元々は正規の企業のもので、もう使用されなくなった古いドメインがスパムの金鉱になる可能性があるため、Talos はさらに調査を進めることにしました。
このドメインを登録してみたところ、DNS リクエストの大部分が、tiburoninc.net の Web サーバで「wpad.dat」というファイルを探しているインターネットコンピュータに関連していることがすぐに分かりました。
wpad.dat は、Web プロキシ自動検出(WPAD)プロトコルで使用されます。WPAD は、組織が Web ブラウザのプロキシ設定を一元管理するために使用されます。WPAD が有効になっている場合、コンピュータは DHCP または DNS を使用してプロキシ設定を自動的に取得します。WPAD プロトコルは柔軟なので、ユーザがアクセスしようとしている宛先ホストに応じてプロキシ設定を変えることができます。WPAD が有効で、ユーザが tiburoninc.net ホストから wpad.dat ファイルのコピーを取得していることを鑑みると、ユーザは Tiburon/TriTech の社員だろうと結論付けることができます。社員に伝えられたプロキシ設定を悪用すれば、攻撃者が独自のプロキシを設定し、社員のコンピュータから送信されたすべてのデータを検査して、応答で返されたデータを操作できる可能性がありました。
問題が深刻だったため、Talos は CentralSquare 社に連絡してそのことを伝え、DNS トラフィックが誤った宛先に送信される原因となった可能性のある技術的な設定の不備を解決するための支援を行いました。Talos はドメイン名を CentralSquare に戻し、すべてのトラフィックの宛先がこのドメイン名になるように変更しました。
イントラネットドメイン名の入力ミス
他にも組織のセキュリティに影響を及ぼす設定不備があります。スパムトラップとして使用できそうなドメインを探していたところ、またしても未登録のドメイン名が見つかりました。Umbrella Investigate によると、このドメイン名は「asssaabloy.net」という大量の DNS クエリを受信していました。
ドメイン名「assaabloy.net」に「s」を 1 つ足すと「asssaabloy.net」になります。Google で調べてみると、「assaabloy.net」は ASSA ABLOY Group のイントラネットドメインです。初めは、ドメイン名 assaabloy.net の入力ミスを悪用するタイポスクワッティング攻撃のように思えました。これは、攻撃者がよく使用するソーシャルエンジニアリングの手法です。
ASSA ABLOY Group は物理アクセス制御を専門としています。同社の Web サイトでは、「自動ドアを通り抜けたり、ホテルに宿泊したり、入出国審査を受けたりしたことがある方は、おそらく当社の製品やサービスを使用したことがあるでしょう。信頼性の高いホームセキュリティから、企業、政府、空港、病院、学校などを対象とした最先端の生体認証テクノロジーまで、当社は毎日の生活のあらゆる部分に関わっています」と説明されています。Yale や HID などの有名な物理アクセス/セキュリティ企業が ASSA ABLOY グループに属しています。
Talos は、攻撃者のインフラを発見したのではないかと考え、このドメイン名を登録しました。DNS サーバを立ち上げてトラフィックを調べたところ、クエリの大半が「vpn.asssaabloy.net」という名前のホストを探していることが分かりました。
観察したトラフィックから判断すると、タイポスクワッティング攻撃ではなさそうでした。ASSA ABLOY の管理者が VPN 設定ファイルでイントラネットドメイン名を入力ミスし、それが社員に配布された可能性が高いと思われました。社員は会社の VPN に接続しようとして、未登録のドメイン「asssaabloy.net」にアクセスしていたというわけです。仮に攻撃者がこのドメインを登録していたとしたら、どのような被害が発生したでしょうか。攻撃者が ASSA ABLOY Group の正規の VPN エンドポイントを装い、社内のリソースに接続しようとする社員のトラフィックを傍受していた可能性があります。幸い ASSA ABLOY のイントラネットドメイン名の入力ミスによって生じた間違った宛先へのトラフィックはすべて、正しい宛先に向けられるようになりました。
GoDaddy の MX レコードの入力ミス
通常とは異なる DNS トラフィックを受信する未登録のドメイン名を検索していたところ、ドメインの MX レコードのホスト名に入力ミスがある事例を複数発見しました。たとえば、GoDaddy でホストされている電子メールサービスを使用するドメインは、通常、smtp.secureserver.net と mailstore1.secureserver.net という 2 つの異なる MX サーバを使用しています。ドメインの MX レコードの入力ミスで、MX ホスト名の最初のドットが省略され、まったく別のドメイン名(smtpsecureserver.net と mailstore1secureserver.net)となっている事例を複数発見しました。もちろん、どちらも GoDaddy の正しい MTA ドメインである secureserver.net ではありません。
このような入力ミスが発生し、存在しないドメイン名が設定されても、問題が認識されないことがあります。上記の例の場合、正規のメールサーバから、実在する別の MX サーバにメールが配信されます。攻撃者は、入力ミスされたドメイン名を登録するだけで、DNS レコードにその間違ったドメイン名が設定されているすべてのドメインの電子メールを傍受できます。実際、ドメイン名「smtpsecureserver.net」は 2021 年 5 月に何者かによって登録され、現在は GoDaddy に置かれています。このドメインの IP はポート 25(SMTP)で接続を受け付けています。WHOIS が編集されているため、活動の背後に誰がいるのかは不明です。
ホスティング サービス プロバイダーは GoDaddy だけではありません。他のドメインでも、Yandex、Zoho、ProtonMail、Google などのサービスがホストされており、どのドメインにも MX レコードの入力ミスがありました。これらの入力ミスにより、トラフィックの宛先が誤って「mxyandex.net」、「mxzoho.com」、「mailprotonmail.ch」、「aspmx3googlemail.com」のような未登録のドメインとなっていました。こうした入力ミスがドメイン名のプライマリ MX レコードで発生することもあります。この場合、攻撃者が問題のドメイン宛てのすべての正規の電子メールを傍受する可能性があります。
Talos は、このような設定不備がある約 150 のドメインを特定しました。幸い、これらの一般的なメールサーバについては、入力ミスのあるドメインを宛先とする電子メールトラフィックのほとんどが適切な宛先にリダイレクトされるようになっていて、メールが傍受されるリスクは減っています。
Umbrella の利用
シスコのクラウドベースのセキュア インターネット ゲートウェイ(SIG)プラットフォームである Umbrella には、セキュアな Web ゲートウェイ、ファイアウォール、DNS レイヤセキュリティ、クラウド アクセス セキュリティ ブローカ(CASB)機能が統合されており、設定不備とインターネットベースの脅威を追跡、排除するために必要な可視性が提供されます。現在 Umbrella を利用されていない場合は、14 日間の無料トライアルにご登録いただけます。お客様のネットワーク全体に、わずか数分で簡単に Umbrella を導入することができます。
Umbrella では DNS ログ機能が最初から有効になっており、アイデンティティが宛先に到達するためのすべてのリクエストがデフォルトでログに記録されます。CSV 形式の Umbrella のログが圧縮(gzip)され、10 分ごとに保存されます。
管理者は、まず Umbrella で使用されるログ形式を確認し、中でも応答コード専用のフィールドに注意します。応答コードは特定の DNS リクエストの性質を示します。DNS クエリが成功すると、応答コードは「NOERROR」となります。「NXDOMAIN」など、他の応答コードを返す DNS クエリを検索すれば、このブログで説明したような設定不備を特定できます。参考までに、Umbrella の DNS ログの確認中に見つかる可能性のあるすべての応答コードを記載します。
まとめ
ネットワークを防御するには、常にあらゆる状況に対応する必要があります。意図的に組織に損害を与えようとする攻撃者の絶え間ない脅威に加えて、悪意があるわけではなく、何らかの設定不備によって生じるセキュリティの問題にも対処できるようにしておかなければなりません。DNS をモニタリングするなど、ネットワークトラフィックに注意を払うことで、重大なセキュリティ問題となる前に潜在的な問題を発見することができます。
本稿は 2021 年 07 月 22 日に Talos Group のブログに投稿された「Security implications of misconfigurations」の抄訳です。