本物の情報を利用した嘘

IT Proの記事によると、「2017年9月19日」にDNSが使えなくなるかもしれないらしい。

決して確実ではないが、DNSSECに用いる鍵の更新の影響で、そういうことが起こり得るんだそうだ。

 

 

こういうニュースが実在することで、攻撃の手口として利用されてしまうのではないか?と懸念している。

例えば以下のような攻撃シナリオだ。

 





   




   

 
企業内ユーザーを狙い、「システム管理者」を名乗って「このDNSの問題への対策として、すぐに新しいDNSサーバーに設定変更するように。」という嘘メールを送る。

大抵のユーザーにとって、システム管理者からメールが直接送られてくることなんて滅多に無い。

そのため、文体や署名などに多少不自然な点があっても、疑わずに信じてしまう可能性がある。

対策をしなくてはいけない理由である「DNSの問題」は実在するのだから、なおさらだ。

設定するよう指示されている「新しいDNSサーバー」は、もちろん攻撃者が作ったものだ。

ほとんどの名前解決は正常に行うため、ユーザーは自分が罠にかかっていることになかなか気付かない。

しかし、G Suiteなどの著名なクラウドサービスだけは、攻撃者が作った偽サイトのログオン画面へ誘導するように罠が仕掛けてある。

偽サイトは本物そっくりに作ってあるため、ユーザーはいつも通り「ユーザー名とパスワード」を入力してログオンを試みる。

これにより、「ユーザー名とパスワード」が攻撃者に知られてしまう。

もちろん、偽サイトなのでちゃんとログオンすることはできない。

偽サイトの画面には、いったん「一時的なエラーによりログオンに失敗しました。」といったメッセージが表示される。

それから数秒で、自動的に「本物のログオン画面」へ遷移する。

(勘のいいユーザーであれば、ここで不審に思うかもしれない。)

ユーザーが再度ログオンを試みれば、当然正常にログオンできるので、罠にかかったことに全く気付かない。

 

 

攻撃者は、人が何かをうっかり信じ込んでしまうような「心の隙」を研究し、新しい手口を次々と編み出している。

(特にメールは、なりすましが容易なせいか、よく利用されている。)

明確に信用できる情報以外は、いったん疑ってかかった方がいいだろう。

 

 

<2017/07/21 追記>

上述の攻撃シナリオでは企業内ユーザーを標的としているが、同様の手口で一般の家庭内ユーザーも狙われ得る。

その場合はおそらく、プロバイダーを騙るメールで、DNSサーバーの設定変更が促されるだろう。

もしそんなメールが届いたら、直接プロバイダーに問い合わせて真偽を確認したほうがいい。

(本当に設定変更が必要なのだとしたら、そんな重大な情報はプロバイダーのWebサイトにも掲載されているはず。)