--------------------------------------------------------------------- ■（緊急）米国国土安全保障省によるDNS設定の改ざんに関する緊急指令の公開について 株式会社日本レジストリサービス（JPRS） 初版作成 2019/01/28（Mon） --------------------------------------------------------------------- ▼概要 2019年1月22日、米国国土安全保障省（DHS）のサイバーセキュリティ・イン フラストラクチャセキュリティ庁（CISA）が「Mitigate DNS Infrastructure Tampering（参考訳：DNSインフラストラクチャ改ざんの軽減）」という緊急 指令（Emergency Directive 19-01）を公開しました。 本指令では、米国の全省庁に対し、米国の複数の行政機関のドメイン名にお いてDNS設定の改ざんに関する一連のインシデントが発生しているとして、 被害を軽減するための緊急対策の実施を指示しています。 JPRSでは現時点において、日本国内で同様の攻撃事例の増加を観測しており ません。しかし、本件はDNSの安全性と信頼性に対する重大な脅威であるこ とから、日本国内のすべてのドメイン名登録者・DNSサービス提供者・ドメ イン名登録事業者に対し、DNS設定の改ざんによるドメイン名ハイジャック （*1）を防ぐための対策と、設定の確認の実施を強く推奨します。 （*1）ドメイン名ハイジャックにつきましては、JPRS用語辞典の以下の解説 をご参照ください。 JPRS用語辞典｜ドメイン名ハイジャック <https://jprs.jp/glossary/index.php?ID=0208> ▼攻撃手法と影響範囲 2019年1月9日に公開された米国FireEye社の技術解説によると、一連のイン シデントでは、 1. DNSプロバイダーに設定されたAレコードの不正書き換え 2. レジストラ経由で設定された登録情報（NSレコード）の不正書き換え 3. 1.及び2.の手法と、攻撃対象のドメイン名に対するDNSリクエストを選 別／転送する、DNSフォワーダー／リダイレクターの組み合わせ といった、さまざまな攻撃手法が用いられていることが判明しています。 DNS設定が改ざんされ、ドメイン名の制御を攻撃者に奪われた場合（ドメイ ン名ハイジャック）、攻撃者は正規の方法を用いたサーバー証明書の不正発 行が可能になります。結果として、HTTPSで保護されたWebサイトの偽サイト の立ち上げと、利用者のアクセスの偽サイトへの誘導が可能になります。 ▼対策 ドメイン名ハイジャックを防ぐための具体的な対策の内容につきましては、 参考リンクに掲載した外部文書、及びJPRSにおいて公開済の以下の文書をご 参照ください。 ▼参考リンク ▽外部文書 cyber.dhs.gov - Emergency Directive 19-01 "Mitigate DNS Infrastructure Tampering" <https://cyber.dhs.gov/ed/19-01/> （CISAが公開した緊急指令） cyber.dhs.gov - CISA blog "Why CISA issued our first Emergency Directive" <https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive> （CISA長官によるブログ） Alert (AA19-024A) DNS Infrastructure Hijacking Campaign <https://www.us-cert.gov/ncas/alerts/AA19-024A> （US-CERTによる注意喚起） Global DNS Hijacking Campaign: DNS Record Manipulation at Scale | FireEye Inc <https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html> （米国FireEye社による技術解説） ▽JPRSの公開文書 DNS Abuseと、DNS運用者がすべきこと ～ ドメイン名ハイジャックを知ることで、DNSをもっと安全に ～ <https://jprs.jp/tech/material/iw2018-lunch-L3-01.pdf> （「Internet Week 2018」ランチセミナーの発表資料） （緊急）登録情報の不正書き換えによるドメイン名ハイジャックとその対策 について（2015年5月26日更新） <https://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html> ▼連絡先 本文書に関するお問い合わせは <dnstech-info@jprs.co.jp> までご連絡くだ さい。 --------------------------------------------------------------------- ▼更新履歴 2019/01/28 18:00 初版作成