reynotch

reynotch

-
 先日、脆弱性テストやシステムへの侵入テストに用いられるフレームワーク「Metasploit」とその「Metasploit」を傘下に収めるセキュリティベンダー「Rapid7」のドメインが乗っ取られ、両サイトのURLにアクセスするとまるでサイトが改ざんされたかのようなページが表示される状態になっていました。




 これらはいずれも被害ベンダーのサーバが乗っ取られたのではなく、共通のドメイン登録業者である「Register.com」のDNSが改ざんされ、偽の改ざんページに誘導されたためなのですが、そのDNS改ざんに使われたのはなんとFAXだそうです。
 
 この攻撃を行ったのはKDMSと名乗るグループで、実はその前にもアンチウイルスベンダーの「AVG」、「Avira」、メッセンジャーアプリ「Whatsapp」の公式サイト、ウェブサイトのアクセス数調査で有名な「Alexa」が同様の被害にあっていました。これも、共通のドメイン登録事業者(この時は「NETWORK SOLUTIONS, LLC」)のDNSが改ざんされたことが原因でした。
 
 このDNS改ざんがどのように行われたかははっきりわかっていなかったのですが、今回被害にあった「Metasploit」のHD Moore氏によると、なんとこの改ざんは偽装された変更要求をFAXで「Register.com」に送ることで行われたとのこと。




 FAXって……。
 
 HD Moore氏が「1964年のようなハッキング」と揶揄するように、脆弱性の悪用や高度のクラッキング技術が使われたわけではなかったようです。
 
 まさかこんな古臭い攻撃手法がまだ通用するとは驚きです。
 
 「Metasploit」、「Rapid7」以降も「ESET」、「BitDefender」といったウイルス対策ベンダーが次々と同じ被害にあっています。KDMSはその都度、TwitterFacebookページでその成果を誇らしげにアピールしています。
 



 「Metasploit」のケース以外はまだ詳細が不明ですが、「セキュリティ関連ベンダーが改ざんされてるwww はずかしー」なんて反応をしている人がたまにいますので、被害企業にしてみるとブランドイメージの低下など風評被害が考えられます。レジストラの中の人には身元の確認はしっかりとしてもらいたいものですね。
 
via.Phony Fax Leads to Metasploit, Rapid7 DNS Hijacking | Threatpost



2013/10/16追記



 その後、「Metasploit」のHD Moore氏から「さらなる調査の結果、FAXによる攻撃という主張は撤回するというツイートがありました。




関連記事


WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法 : I believe in technology
トレンドマイクロ社のセキュリティブログでWordPressなどのCMSの脆弱性を悪用するスパムボット「Stealrat」に関するエントリが公開されています。この記事によると、2013年4月~7月末で約19万5千ものサイトが「Stealrat」に感染し改ざんされたとのこと。




Posted by