AmazonのDNSサービス「Route 53」狙ったBGPハイジャッキング攻撃発生
2018年4月28日 11:39
Amazonが提供するDNSサービス「Route 53」を狙った攻撃により、仮想通貨管理サービス「MyEtherWallet.com」の利用者が偽サイトに誘導され、仮想通貨管理に利用する秘密鍵などの情報が盗み取られる被害が発生した(ITmedia、ZDNet)。
今回使われたのは「BGPハイジャッキング」とよばれる手法。インターネットではBGPと呼ばれるプロトコルを使って通信経路情報をやり取りしている。ここでやり取りされた経路情報に基づいて通信パケットを最適なネットワークに転送するのだが、今回は不正な通信経路情報を流すことでRoute 53向けの通信を別のサーバー(偽DNSサーバー)に転送していた。
orangeitems’s diaryによると、MyEtherWallet.comは権威DNSサーバーとしてRoute 53のDNSサーバーを指定していたようだ。そのためMyEtherWallet.comの名前解決のために問い合わせを行ったDNSサーバーの通信パケットが偽DNSサーバーに誘導され、その結果各DNSサーバーが不正なIPアドレスを返すようになっていたという。
今回のような攻撃ではRoute 53自体やユーザーがアクセスするDNSサービス自体が直接第三者に攻撃されて乗っ取られたわけではないため、ユーザー側での対処は困難となっている。今回の件では偽サイトにアクセスした際にWebブラウザがSSL証明書エラーを表示したようだが、これを無視してアクセスを行ったユーザーが被害に遭っているようだ。