サイバーセキュリティのポイント2019年ニューヨークサミットより

サイバーセキュリティのポイント
2019年ニューヨークサミットより

MarkMonitor

2019年6月4日

5月7日、ニューヨークにて毎年恒例のMarkMonitorサミットが開催されました。著名なセキュリティブロガーであり、調査ジャーナリストでもあるBrian Krebs氏が基調講演を行い、最新のオンラインのスキームとネット詐欺について紹介、分析しました。

Krebs氏はブランドと消費者へのダメージや時間の経過に伴うサイバー脅威の進化を、判断が困難な曖昧なものから悪名高いものまで実例を用いて定量化しました。 共通テーマはブランド権利者への脅威です。 それは決して収まることはなく、変容し続けます。決定的な解決策がない場合は、備えと対応を規定しておくことが重要です。

 

新たなDNSの脅威

Krebs氏は最近のDNSハイジャックの例の一つとして、イランがサポートしていると見られるハッカーによって行われた事例を挙げました。

米国国土安全保障省(DHS)の一部門であるCISA(サイバーセキュリティおよびインフラストラクチャー機関)は、この事件により非常に稀有なケースですが、緊急指令を出しました。この事件以前には、ヨーロッパのネットインフラに関連する無数のサイト、および中東の企業や政府機関のDNS情報の違法操作が起こっています。

この攻撃は様々な侵害可能ポイントから侵入していましたが、その中でも2要素認証(2FA)やレジストリロックを採用していないレジストラアカウントが多く含まれていました。

これらのアカウントは、標的型スピアフィッシング攻撃によって侵害され、その結果、レジストリとレジストラ間でコマンドを送受信するために使用される言語であるEPPによってDNS情報が非常に短い期間(文字通り数分間)で変更されました。 短時間ではありますが、サイトの偽DV証明書を発行し、ハッカーが関連するシステムやサイトのデータを収集するのには十分な時間でした。

 

ドメインセキュリティの重要性

このサイバー攻撃の事例から、2FAの使用義務付けている企業専用レジストラを利用する必要性があることがわかります。

これ以外の不具合もありますが、問題となっているドメイン所有者がMarkMonitorがクライアントに提供しているようなサービスシステムを使用していたならば、侵害の大部分は避けられたかもしれません。これらの安全策に加えて、レジストリロック(利用可能な場合)を利用すれば、DNSを変更するEPPコマンドが送信されるのを防ぐことができます。

仮にMarkMonitorのクライアントに不正な変更が行われた場合、DNSモニタリングにより、レジストリで公開されたDNSとクライアントアカウントに表示されたDNSの不一致の警告が表示されます。

 

セキュリティのコツ

Krebs氏は、リスクをできるだけ軽減するために、職場で採用できるチェックリストを紹介し、「悪人はたった一度の成功でよいが、善人は誤りを犯さず、100%正しいことをしなければならない」と話しています。

 

  • あなた/貴社は外部からどのように見られていますか(“壊れた窓”理論)
    貴社の公開データをネット犯罪者が見た時、侵害が簡単なターゲットと見られるでしょうか? 幅広いリテールレジストラを使用しているか、レジストリで重要なドメインをロックしているか、登録機関がアクセス可能なDNSを使用しているかなどはWHOISから確認することができます。
  • 解決策を探る
  • 第三者のリスクを管理する
    あなたのシステムやサイトを利用しているパートナーやベンダーは誰ですか?そのセキュリティレベルは信頼できるものでしょうか? これもまた – ドメインの世界では – 定期的なペネトレーションテストを行い、ソーシャルエンジニアリングとスピアフィッシング訓練を行う時はいつでも、レジストラに直接レジストリと連携し、二要素認証を義務付けることが大切です。
  • 二要素認証
    多くのリスクは、従業員とベンダー間で二要素認証を徹底させることで簡単に軽減できます。
  • 定期的なセキュリティの確認/テストを実施
    テスト前に受験者に情報を提供しないようにしましょう。
  • 違反対応計画を立てる
    そして対応訓練を実施する。
  • 従業員/ユーザー/顧客アカウントへのパスワードスプレー攻撃
    最近の攻撃では、最も使用頻度の高いトップ100のパスワードを単純にランダムに適用しています。それらを企業の電子メールのアクティブディレクトリリストに適用しています。
  • DNSとSSLの変更を監視、記録、警告する
    不正な変更が発生した場合に即座に対応できるように、リアルタイムに警告されるようにします。 アラート設定はRSSと同様に簡単です。 MarkMonitorは常に管理するドメインのDNSを監視して、レジストリレコードがMarkMonitorの保有情報と一致することを確認しています。MarkMonitorは何年にもわたりこのDNS監視機能を実施してきました。そしてこの機能により、多数のレジストリ運用者がシステム侵害を特定する前に警告を発することができるのです。
  • 積極的にセキュリティ保護に取り組む
    重要なのは、脆弱性が検出されたときに第三者からのフィードバックに耳を傾け、それらの意見をすぐに却下しないことです。

 

デジタルの脅威からあなたのブランドを保護することについての詳細は、最新のビジネス調査レポートをご覧ください。

MarkMonitorのソリューションについてはこちら

英語原文はこちら