アメリカの国土安全保障省は、ハッカーがバリケードを突破したことを受けて、米国政府各省庁および連邦政府機関に対し、DNSコントロールパネルを強化するよう要請した。
過去数時間以内に発令された緊急指令では、米国政府機関の一部閉鎖中に職務を遂行中の IT スタッフに対し、.GOV やその他の公式 Web アドレスのドメイン名設定をロックダウンするよう勧告されています。
アメリカの技術者たちは、DNS 設定に新しく強力なパスワードを使用すること、ドメインへの不正な変更を阻止するために多要素認証を有効にすること、Web アドレスが正しい IP アドレスに解決されることを確認すること、不正行為の兆候がないかログを監視すること、などの指示を受けている。
この指示は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、複数の行政機関のDNSインフラに不正アクセスした者がいることを認識したことを受けて発出された。ワシントンDCに拠点を置くサイバースクープによると、その数は少なくとも6人に上る。
*ガラスを軽く叩く* やあああ、IRS?誰かいる?納税者のデータを犯罪者から守ってる人いる?やあああ?
続きを読む
今月初め、情報セキュリティ企業の FireEye は、おそらくイランが画策したと思われる、非常によく似たドメイン ハイジャック キャンペーンについて報告しました。このキャンペーンでは、中東政府の電子メールがイランの IP アドレスを通じてリダイレクトされていました。
ハッカーがDNSアカウントのパスワード、あるいはブルートフォース攻撃で脆弱なパスワードを入手すると、ネームサーバー、ドメインおよびサブドメインのレコード、MX設定を改変し、政府のウェブサイトやサーバーに接続しているネットユーザーを、正規のサイトを装った悪意のあるシステムにリダイレクトさせることができます。これにより、メールアドレス、ユーザー名、パスワードなどの情報が盗まれる可能性があります。また、攻撃者はハイジャックしたドメイン名の有効な証明書を入手できるため、HTTPS暗号化は実際には役に立たないと勧告は付け加えています。
だからこそ、アメリカの最高責任者たちは、ドメインハイジャックを防ぐために、各機関(そしておそらくは国内の関係者も)に対し、ドメイン管理アカウントに強力なパスワードと多要素認証を導入するよう求めているのです。CISAは、こうしたDNSの不正利用は「トラフィックのリダイレクト期間を超えて継続するリスク」であると付け加えています。
以下は指令の重要な行です。これらを自分で実装しても問題ありません。
一部の機関は対応に多少苦労するかもしれません。ご覧の通り、緊急指令ではこれらの措置を10営業日以内に実施することが求められていますが、トランプ大統領とミッチ・マコーネル上院多数党院内総務(共和党、ケンタッキー州)による政府機関の一部閉鎖が続いている状況では、これは難しいかもしれません。先週、Netcraftは、政府閉鎖により130件以上の米国政府所有のTLS証明書の更新が妨げられたと報告しました。
CISAはまた、10営業日以内に「サイバーハイジーンサービスを通じて、機関ドメインの証明書透明性(CT)ログに新たに追加された証明書を定期的に配信し始める」と述べた。これらのログの配信が開始されると、機関はログを監視し、自ら発行していない証明書を見つけるよう指示される。
現場にITスタッフが不足していることを考えると、指令の要件がすべての部署で遵守される可能性は低いでしょう。攻撃者は間違いなく、アメリカ国民が物理的な壁をめぐる議論に気を取られ、ファイアウォールをすり抜ける隙を狙うでしょう。®
