US-CERTは1月24日(米国時間)、DNS Infrastructure Hijacking Campaign|US-CERT」において、国家サイバーセキュリティ通信統合センター (NCCIC:National Cybersecurity and Communications Integration Center)がDNSインフラストラクチャハイジャックキャンペーンが広い範囲にわたって行われていることを検出したと伝えた。
攻撃者は乗っ取ったDNSサーバを書き換えて偽のサイトに誘導するとしており注意が必要。第三者のDNSサーバが偽装されている場合に問題に気がつきにくいおそれがある。
-
Alert (AA19-024A) - DNS Infrastructure Hijacking Campaign|US-CERT
NCCICはこうした攻撃に備える方法として、次のベストプラクティスを実施することを推奨している。
- 組織のDNSサポートを変更することができるすべてのアカウントのパスワードを更新する
- DNSレポートを変更できるアカウントやドメイン登録を実施したアカウントに関して多要素認証を導入する
- パブリックDNSサポートを監査して名前解決が適切に実施しているかどうかを確認する
- ドメインに関する証明書を検索し、不正に利用された証明書をすべて取り消す
DNSサーバがハイジャックされた場合、攻撃者はDNSの設定を任意に書き換えることで中間者攻撃なども実施できるようになる。この手の書き換えを行われた場合、クライアント側に警告などが現れる可能性が低く、問題の発見が遅れる可能性が高いため注意が必要。
