2017年8月17日

株式会社Doctor Web Pacific

Doctor Webでは、誤ったDNS設定が、他の要因と併せてWebサイトを感染させてしまう原因の1つになり得るという点について過去にも報告しています。Doctor Webのアナリストによって行われた研究の結果、この問題はロシアの多くの金融機関や一部の政府機関にとって重大な懸念事項であるということが明らかになりました。

DNS (ドメインネームシステム) はドメインに関する情報の取得を可能にし、インターネットアドレスを提供します。クライアントソフトウェア、中でも特にブラウザは、入力されたURLに基づいてインターネットリソースのIPアドレスを取得するためにDNSを使用します。通常、DNSサーバーはドメイン所有者自身によって管理されます。

インターネットリソースの多くは、メインとなる第2レベルドメインに加えて第3レベルドメイン、第4レベルドメインといった追加のドメインを複数使用しています。例えば、drweb.comドメインは、ユーザーがリンクやファイルを検査したりウイルスに関する説明を確認したりすることのできるWebサイトを含んだドメイン vms.drweb.ru、 Dr.Web CureIt!のWebページ用ドメイン free.drweb.ru、 Dr.Webシステムアップデートページ用ドメイン updates.drweb.com などのサブドメインを使用しています。様々な技術的サービスやサポートサービスは、多くの場合このようなドメインを使用することで実現されています。そのようなサービスとして、Webサイト管理やマネジメントシステム、オンラインバンキングシステム、メールサーバーのWebインターフェース、社員向けのあらゆる社内Webサイトが挙げられます。そのほか、サブドメインは、バージョン管理システム、バグトラッカー、様々な監視サービス、wikiリソース、およびその他のニーズに対応する目的でも使用されます。

Webサイトを攻撃するサイバー犯罪者は、まず初めに対象となるインターネットリソースに関する情報を収集しますが、とりわけ、サイトを管理するWebサーバーの種類とバージョン、コンテンツ管理システムのバージョン、エンジンプログラミング言語、そしてサイトのメインドメインのサブドメイン一覧を含むその他の技術的な情報を特定しようと試みます。このリストを使用することで、サイバー犯罪者は、アカウントデータを取得し、内部の非公式サービスの1つログインすることによって、「バックドア」を経由してインターネットリソースのインフラストラクチャ内に侵入を試みることが可能になります。このような「内部」のWebサイトは、既知の脆弱性を含んだ古いソフトウェアを使用していたり、デバッグ情報を含んでいたり、あるいはオープンな登録が可能であったりする場合があります。これらすべてがサイバー犯罪者の仕事を容易になものにしています。

Webサイトを管理するDNSサーバーが正しく設定されていれば、サイバー犯罪者はリクエストしたドメインゾーン情報を取得することはできません。一方、DNSサーバーの設定が誤っていた場合は、特殊なAXFRリクエストによって、ドメインゾーン内に登録されたサブドメインに関する完全なデータを取得することが可能になります。DNSサーバーの誤った設定それ自体は脆弱性ではありませんが、インターネットリソースを感染させてしまう間接的な原因となり得ます。

Doctor Webでは、ロシアの銀行および政府機関のDNSサーバー設定について調査を実施しました。その結果、調査対象となったロシアの銀行のドメインおよそ1,000個のうち89個が外部AXFRリクエストに対してドメインゾーンを返していることが明らかになり、この情報はロシア銀行の金融セクターコンピューター緊急レスポンスチーム (FinCERT : Financial Sector Computer Emergency Response Team) に提供されました。また、誤った設定は複数の政府機関のWebサイトでも発見されています。サイト管理者の方には、DNSを正しく設定することはインターネットリソースのセキュリティを確保するための重要な要素の1つであるということを今一度心に刻んでいただきますようお願いいたします。