ICANN が語る:我々の DNS ゾーンデータベースを攻撃したハッカーにまつわる「真実」~しかし詳細な情報の不足が、その組織のセキュリティを疑問視させる(The Register) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.01.17(木)
コンテンツ
注目検索ワード
ホーム 国際 TheRegister 記事

ICANN が語る:我々の DNS ゾーンデータベースを攻撃したハッカーにまつわる「真実」~しかし詳細な情報の不足が、その組織のセキュリティを疑問視させる(The Register)

だが、どの程度の「追加のセキュリティ」が IANA システムに組み込まれているのかは明らかにされていない。このスピアフィッシング攻撃は icann.org のメールアドレス宛に送信されており、IANA のスタッフはメールアドレスに同じドメインを利用している。

国際 TheRegister
インターネットにおいて重要な役目を果たしている「IANA」部門――それは IP アドレスを割り当て、グローバル DNS を管理している――は、「ICANN」のドメイン名を管理するシステムに侵入したハッカーたちによって危殆化されてはいないと、同組織(ICANN)は主張している。

金曜朝(編集部註:2014 年 12 月 19 日)に発表された簡潔な最新情報の中で、ICANN は以下のように記した。「我々は、その攻撃が IANA に関連したシステムには一切影響を与えていないことを確認した。パスワードを危殆化された ICANN のスタッフたちは、IANA 機能のシステムへのアクセス権を持っていない」

また、インターネットの構造のトップレベルに影響を及ぼす IANA のメカニズムに関しては、「(他とは)切り離された、侵害を受けなかったシステムであり、そこには追加的なセキュリティ対策が講じられていた」と記されている。
$$$$

米国政府との契約の下、ICANN によって運営されている IANA は、一般的なセキュリティ処理に関して、いくつかの漠然とした内容――同組織は、「最も重要なサービスのために複数のレベルの保護を採用しており、その攻撃者たちは防御の表層を破ったものの、我々の最も重要なシステムには影響が与えられなかった」ということが、現在継続中の調査によって示されているという内容――の情報を提供している。

本日(編集部註:2014 年 12 月 19 日)の声明は、インターネットのコアシステムにいる人々が「比較的、洗練されていない攻撃(まあ、それは、CNN の表現によればの話だが)」の侵害を受けていないということを明確にするために発表されたが、いくつもの重要な質問に対しては未回答のままであり、それは同組織の基本的なセキュリティ処理に対する疑問を提起している。

ICANN は、IANA のシステムが損なわれていないと熱心に強調している。なぜなら現在、彼らは「半永久的に IANA を運営する契約」を取得する試みに深く関与しているからだ。

「そのプロセスを安全に実行する能力」に対して沸き上がる疑問は、(その試みの)すべてを台無しにし、この非営利団体に大規模な打撃を及ぼす可能性がある。

だが、どの程度の「追加のセキュリティ」が IANA システムに組み込まれているのかは明らかにされていない。このスピアフィッシング攻撃は icann.org のメールアドレス宛に送信されており、IANA のスタッフはメールアドレスに同じドメインを利用しているので、ICANN は「安全であった」というより「幸運であった」という可能性が充分にある。

●詳細に関しては沈黙のまま

(ICANN が)「セキュリティ・ポリシーに関する基本的な情報の提供を望んでいない」様子は、果たして彼らが適切な処置をしているのかどうかという点について、あるいは「インターネットの運営上、これほど重要な役割を担っている組織に我々が期待しているベースライン」を彼らが満たしているのかどうかという点について、疑問を抱かせるものだ。

適切な運営をしている全ての報道機関と同様、The Register ではメールシステムや編集のシステムに 2 要素認証を採用している。我々は現在、ICANN がブログや政府専用の wiki、そして世界のレジストリのために DNS ゾーンファイルを蓄えるシステムなど「よりありふれたシステム」の多くで、それを行っていなかったことを知っている。

IANA の重要なコンピュータにも同じことが言えるとは限らない、と我々は推測する――あるいは望む――ことができるものの、スタッフのメールが 2 要素認証を利用していないことは明らかだ。ICANN から米国政府に送られるメール自体が、「そのインターネットのトップレベルの組織は充分、改変に値するものだ」ということを現在の我々に知らせている以上、それは特に懸念されることである。

「各システムごとに異なるパスワードの要求」「複雑な機械生成のパスワードの利用」「暗号化されたパスワードの安全な保管」「定期的なパスワード変更の強制」「物理的なドングル」「全スタッフに向けた年に一度のセキュリティ教育とレビュー」等々、様々なセキュリティ対策が施行されていることを、我々は前提としたい。

非営利組織の ICANN は、いくつかの事情で、人々を安心させたいと願っていないらしい。1 つのレベルで考えるなら、それは理解できる話だ。情報を公開すると、それは悪党が攻撃体制を整える際に利用できる――言い換えれば、それはちょうど良い OPSEC になる。

その一方で、「何も情報を提供しないこと」は、「大多数のインターネット組織が払いのける攻撃によってコンピュータを侵害されることがなかった企業」だけに許される贅沢だ。

記事原文

© The Register.


(翻訳:フリーライター 江添佳代子
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Amazonプライム会員の更新のためにカード情報を登録させるニセメール(フィッシング対策協議会) 画像

Amazonプライム会員の更新のためにカード情報を登録させるニセメール(フィッシング対策協議会)
スマートスピーカーや5G回線の悪用など予測--2019年のセキュリティ(ジュニパーネットワークス) 画像

スマートスピーカーや5G回線の悪用など予測--2019年のセキュリティ(ジュニパーネットワークス)
オムロンの「CX-One」に任意コード実行の脆弱性(JVN) 画像

オムロンの「CX-One」に任意コード実行の脆弱性(JVN)
WordPress用プラグイン「spam-byebye」にスクリプト実行の脆弱性(JVN) 画像

WordPress用プラグイン「spam-byebye」にスクリプト実行の脆弱性(JVN)
「Windows 7」のサポート終了まで一年、注意を呼びかけ(IPA) 画像

「Windows 7」のサポート終了まで一年、注意を呼びかけ(IPA)
Adobe Flash Player において Use-After-Free の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report) 画像

Adobe Flash Player において Use-After-Free の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

不正アクセスによりホームページが改ざん被害、現在は復旧済み(南紀白浜観光局) 画像

不正アクセスによりホームページが改ざん被害、現在は復旧済み(南紀白浜観光局)
国際学会で離席した隙をつかれノートパソコンが盗難被害に(長岡技術科学大学) 画像

国際学会で離席した隙をつかれノートパソコンが盗難被害に(長岡技術科学大学)
フィッシングサイトで詐取されたアカウントから迷惑メールを多数配信、個人情報漏えいの可能性も(東京外国語大学) 画像

フィッシングサイトで詐取されたアカウントから迷惑メールを多数配信、個人情報漏えいの可能性も(東京外国語大学)
国税庁での契約・法令違反の再委託を受けて調査を実施、埼玉県内の6市でも無許諾が判明(AGS) 画像

国税庁での契約・法令違反の再委託を受けて調査を実施、埼玉県内の6市でも無許諾が判明(AGS)
ニュースアトム読者からの返信ハガキ10枚を紛失(東京電力ホールディングス) 画像

ニュースアトム読者からの返信ハガキ10枚を紛失(東京電力ホールディングス)
COP24でセキュアUSBメモリとモバイルパソコンを紛失、盗難の可能性(環境省) 画像

COP24でセキュアUSBメモリとモバイルパソコンを紛失、盗難の可能性(環境省)

調査・レポート・白書 記事一覧へ

「Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0」を公開(脆弱性診断士スキルマッププロジェクト) 画像

「Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0」を公開(脆弱性診断士スキルマッププロジェクト)
IoTセキュリティへの取り組み、日本企業の低さが明らかに(ジェムアルト) 画像

IoTセキュリティへの取り組み、日本企業の低さが明らかに(ジェムアルト)
コネクテッドカーのECUに1カ月あたり平均30万回の攻撃(アズジェント) 画像

コネクテッドカーのECUに1カ月あたり平均30万回の攻撃(アズジェント)
フォレンジックで浮気の証拠探し -- 2018年ランキング(デジタルデータソリューション) 画像

フォレンジックで浮気の証拠探し -- 2018年ランキング(デジタルデータソリューション)
家庭のセキュリティ教育実施、被害経験のある親比率高い(トレンドマイクロ) 画像

家庭のセキュリティ教育実施、被害経験のある親比率高い(トレンドマイクロ)
中小企業のセキュリティ対策、4割以上が「行っていない」(ワンビ) 画像

中小企業のセキュリティ対策、4割以上が「行っていない」(ワンビ)

研修・セミナー・カンファレンス 記事一覧へ

日本初上陸の電子メール「分離」技術をお披露目、Menlo 社チーフアーキテクト来日(マクニカネットワークス) 画像

日本初上陸の電子メール「分離」技術をお披露目、Menlo 社チーフアーキテクト来日(マクニカネットワークス)
サイバーセキュリティでも「セコム」、来週24日 セミナー開催 画像

サイバーセキュリティでも「セコム」、来週24日 セミナー開催
セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート 画像

セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート
プロアクティブな対策に必須の「サイバーインテリジェンス」入門セミナー(マキナレコード) 画像

プロアクティブな対策に必須の「サイバーインテリジェンス」入門セミナー(マキナレコード)
アナログゲームで体験するサイバーセキュリティ模擬訓練 ~ インシデント対応ボードゲーム金融版ワークショップレポート 画像

アナログゲームで体験するサイバーセキュリティ模擬訓練 ~ インシデント対応ボードゲーム金融版ワークショップレポート
無料セミナー「セコムが語る 最新のサイバー攻撃事例と対策」開催(セコムトラストシステムズ、アルファテック・ソリューションズ) 画像

無料セミナー「セコムが語る 最新のサイバー攻撃事例と対策」開催(セコムトラストシステムズ、アルファテック・ソリューションズ)

製品・サービス・業界動向 記事一覧へ

クラウドサービスを安全に利用するためのプライベートサーバ機能を提供(ALSI) 画像

クラウドサービスを安全に利用するためのプライベートサーバ機能を提供(ALSI)
「FFRI yarai」の管理コンソールをクラウド化(FFRI) 画像

「FFRI yarai」の管理コンソールをクラウド化(FFRI)
車載データサービス向けセキュリティ分野で協業(ACCESS) 画像

車載データサービス向けセキュリティ分野で協業(ACCESS)
Webサイト改ざん「予防」「検知」「復旧」サービスを体系化(ALSOK) 画像

Webサイト改ざん「予防」「検知」「復旧」サービスを体系化(ALSOK)
セキュリティとプライバシー保護が「最重要」であることが明らかに(ファーウェイ・ジャパン) 画像

セキュリティとプライバシー保護が「最重要」であることが明らかに(ファーウェイ・ジャパン)
EUと同等の十分性認定、2019年1月の見通し(個人情報保護委員会) 画像

EUと同等の十分性認定、2019年1月の見通し(個人情報保護委員会)

おしらせ 記事一覧へ

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×