この記事は、米国 Department of Homeland Security の Cybersecurity and Infrastructure Security Agency によって投稿された Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering の私訳である。正確性は保証しない。
このページは、国土安全保障省 Cybersecurity and Infrastructure Security Agency の緊急指令 19-01 『DNSインフラ改竄の軽減』の電脳網版である。また、長官によるブログポストも参考にされたい。
44 U.S.C. 3553 (h) 項によって、国土安全保障省は、ある政府機関の情報セキュリティに対して明確な脅威を呈する、既知のあるいは十分に疑わしい情報セキュリティ上の脅威、脆弱性、または事件が発生した際、「ある政府機関の長官に対して、運用者にかかわらず当該機関の情報を収集し、処理し、保存し、転送し、発信し、あるいは維持する情報システムを、情報セキュリティ上の脅威から保護しあるいはそれを減ずることを目的として、法の許す範囲で行動を取ることを要請する緊急指令を発する」ことが許されている。 44 U.S.C. § 3553(h)(1)–(2).
改正 2002 年国土安全保護法 2205(3) 項は、この権限を Cybersecurity and Infrastructure Security Agency 長官に対して委任している。 6 U.S.C. § 655(3).
連邦政府機関はこれらの緊急指令にしたがわねばならない。 44 U.S.C. § 3554 (a)(1)(B)(v).
これらの指令は、法定の「国家セキュリティシステム」および防衛省またはインテリジェンス・コミュニティによって運用されるシステムに対しては適用されない。 44 U.S.C. § 3553(d), (e)(2), (e)(3), (h)(1)(B).
背景
政府及び民間のパートナーと共に、 Department of Homeland Security (DHS) Cybersecurity and Infrastructure Security Agency (CISA) は、Domain Name Service (DNS) インフラストラクチャの改竄に関する一連の事件 *1 に対応しています。CISA は、この改竄活動が複数の行政機関に影響を及ぼしていることを確認しており、それらを管轄する政府機関にすでに注意を送っています。
以下のテクニックを利用して、攻撃者は、ウェブ及びメールのトラフィックをリダイレクトあるいはインターセプトしており、他のネットワークサービスに対しても同じことをする可能性があります。
攻撃者は、DNSレコードに対して変更を及ぼすことのできるユーザーの認証情報を何らかの手段を用いて盗むところから始め、アドレス (A)、メールエクスチェンジャー (MX)、ネームサーバー (NS)などのレコードを、もとのアドレスから攻撃者がコントロールするアドレスへと変更します。これにより攻撃者は、ユーザーのトラフィックを自らのインフラへと招き入れ、もともとの正統なサービスへと転送する前に、操作や監視が可能な状態を作り出します。これは、単にトラフィックがリダイレクトされるという以上の危険性をはらんでいます。
攻撃者は DNS レコードに対して値を付与することができるため、ある組織のドメインネームに関して、有効な暗号化証明書を入手することができます。よって、リダイレクトされたトラフィックを復号化し、ユーザーから送信されたどのようなデータも解読することが可能となります。この証明書はドメインに対して有効な証明書ですから、エンドユーザーはエラー警告を受信しません。
この活動が政府機関の情報と情報システムにもたらす重大かつ差し迫ったリスクに対処するため、この緊急指令は、直近では以下の対策を取ることを命じます。これにより、まだ発見されていない改竄のリスクを減じ、政府機関が自らのドメインに対する不正なDNS活動を予防することを可能にし、不正な証明書を検出することができます。
必要な行動
行動1:DNSレコードの監査
10日以内に、.gov 及び他の政府機関によって維持されているドメインは、そのすべての権威およびセカンダリ DNS サーバー上にあるパブリックDNSレコードの監査を行い、それらが想定されているアドレスに解決するかを確認し、そうでない場合、CISA に報告してください。
CISA では、当該政府組織の目的にとって必要不可欠なウェブサイトや MX レコードのような頻繁に利用されるサービスといった、公衆あるいは組織のユーザーにとって鍵となる政府機関のサービスに関連する NS レコードを優先することをおすすめしています。
行動2:DNS アカウントパスワードの変更
10日以内に、政府機関の DNS レコードに変更を加えることのできるすべてのアカウントのパスワードを変更してください。 *2
CISA では、複雑性および唯一性の高いパスワードを生成するために、パスワードマネージャの利用を推薦しています。
行動3:DNS アカウントへの多要素認証の追加
10日以内に、政府機関の DNS レコードに変更を加えることのできるすべてのアカウントに対して、多要素認証 Multi-Factor Authentication (MFA) を実装してください *3。MFA を有効化することができない場合、CISA に対して、システムの名前、必要期限以内に実装が困難な理由、および実装可能な期限を通知してください。
CISA では、フィッシングに対して防御力の高い要素の追加をおすすめしています。NIST SP 800-63b に準拠し、SMS 認証はおすすめしていません。
行動4:証明書の透明性ログの監視
10日以内に、CISA は、政府組織のドメインの証明書透明性ログに、Cyber Hygiene サービスを通じた新しい証明書の追加を開始します。
受領時、政府組織は、自身で要求しなかった証明書の CT ログデータの監視を即座に開始してください。ある証明書が不正であることを政府組織が確認した場合、証明書発行機関及び CISA に対して報告を行ってください。
CISA の行動
CISA は、
- 不正な DNS レコードを報告した政府機関に対して、技術的補助を提供します。
- 期限内に DNS アカウントに対して MFA を実装できない政府機関の報告を確認し、必要に応じて機関に連絡を行います。
- Cyber Hygiene サービスを通じて、新しい証明書を CT ログに対して定期的に追加します。
- この指令が発された後、緊急指令に関する調整連絡を通じて、政府機関に対して必要なガイダンスを提供し、CyberLiaison を通じた個別のリクエストにも応えます。
報告手順
政府組織は、以下のスケジュールに基づいて CISA に情報を提供してください。
- 2019-01-25: 状況報告の送信
- 2019-02-05: 上述の行動に関する完遂報告の送信
2019-02-06 から、CISA 長官は要求された行動を完了していないすべての政府組織の最高情報責任者 (CIO) および リスクマネジメント上級管理官 (SAORM) と、かれらの連邦情報システムが十分に保護されていることを確実化するため、必要に応じて接触を行います。2019-02-08 までに、CISA は、国家安全保障省及び行政予算管理局に対して、各政府機関の現状と残された問題点に関する報告書を作成します。
期間
この緊急指令は、次の拘束的運用指令によって置換されるか、他の適切な措置によって終了するまでの間有効です。
*1:https://www.us-cert.gov/ncas/current-activity/2019/01/10/DNS-Infrastructure-Hijacking-Campaign
*2:これは、機関によって運用されている DNS サーバー・ソフトウェアまたはその運用を行うシステム、第三者 DNS オペレータの運用パネル、及び DNS レジストラのアカウントを含みます (.gov レジストラを除く)。
*3:同上