Sea Turtle:DNSをハイジャックして各国政府を諜報した国家支援型サイバー作戦
2019年にCisco Talosが公開した国家支援型作戦「Sea Turtle」がいかにしてレジストラ・レジストリ・DNSプロバイダーを侵害してDNSをハイジャックし、政府機関・省庁・エネルギー企業のトラフィックを攻撃者のサーバーに誘導し、正規証明書を偽造し、国別TLDのレジストリにまで侵入したかを解説する。
- domains
- security
- dns
- domain-security
ほとんどのサイバー攻撃は、標的の内部に侵入しようとする。しかしSea Turtle作戦が行ったのは、もっと静かで、はるかに危険なことだった。それは、インターネット全体に対して標的の所在を告げる地図そのものを書き換えることだった。
政府省庁のウェブアドレスをブラウザに入力するとき、あるいはそこの職員にメールを送るとき、あなたのコンピューターはまずDomain Name System――DNS――に問い合わせ、人間が読めるその名前を適切なサーバーの数値アドレスに変換してもらう。この名前解決はインターネットのほぼあらゆる基盤となっているため、正しく解決されているかどうかを独立して検証する仕組みは存在しない。私たちはただ、その名前が本来のサーバーに解決されると信じているだけだ。Sea Turtleの攻撃者はその「信頼」を完全に理解しており、2年以上にわたって中東・北アフリカ各国の政府を諜報するためにそれを悪用し続けた。
2019年4月にCisco Talosが公開したSea Turtleは、DNS自体が国家諜報活動の道具として武器化された事例として、現在入手できる中でも最も明確なケーススタディの一つである。攻撃者は個々の従業員をフィッシングして運に任せるのではなく、標的の上位に位置するレジストラ、レジストリ、DNSプロバイダー――つまり名前の解決を制御する機関――を標的にした。その制高点から、組織全体のトラフィックを迂回させ、認証情報を収集し、なりすましを本来は不可能にするはずの暗号証明書を偽造したのである。
国家諜報活動の標的としてのDNS
DNSはよく「インターネットの電話帳」と表現されるが、それでは実態を過小評価している。より正確には郵便の配送システムに近い。メール一通、ログイン一回、APIコール一つ、すべてが名前の解決から始まる。解決先を制御できれば、宛先を制御できる――そして、双方が非公開かつ直接やり取りしていると信じている会話の真ん中に、気づかれることなく座ることができる。
これがDNSをほぼ完璧な諜報標的にする理由だ。DNSプロバイダー1社を侵害するだけで、そこに依存するあらゆる組織のトラフィックを露出させることができる。そしてエンドポイントのマルウェアと違い、DNS操作は被害者自身のマシンには一切触れない。スキャンするものも、隔離するものも何もない。レコードが単に別の場所を指すようになるだけだ。
Talosはそのメカニズムについて率直に述べている。同社のレポートによれば、DNSハイジャックとは、攻撃者がDNSのネームレコードを不正に書き換え、標的の正規ユーザーを攻撃者が管理するサーバーに誘導することで発生する。説明はシンプルだが、実害は壊滅的だ。
Sea Turtle作戦(2017〜2019年)

Sea Turtleはひったくり的な攻撃ではなかった。Talosはこの進行中の作戦は早ければ2017年1月に開始し、2019年第1四半期まで継続していたと見られると評価しており、2年以上にわたる忍耐強く持続的な作戦だった。
その期間にTalosが集計した結果、このキャンペーンでは13か国にわたる少なくとも40の異なる組織が侵害された。TechCrunchはその範囲をこう要約している。このグループは13か国の政府・情報機関・通信会社・大手インターネット企業40組織を2年以上にわたって標的にしたとされ、被害組織はアルメニア、エジプト、トルコ、スウェーデン、ヨルダン、アラブ首長国連邦などの各国で確認された。
Talosは作戦を特定の政府に公式に帰属させることは避けたが、攻撃者のレベルについては確信を持っていた。Cisco TalosのCraig WilliamsはTechCrunchに対し、これまでに見られない比較的独自の手法で活動する新しいグループであり、新しい戦術・技術・手順を用いていると語り、同チームはこのグループの主な動機が諜報活動の実施にあると評価している。
誰が標的にされたか、何が危険にさらされたか
被害者リストは、情報収集上のウィッシュリストそのものだ。Talosが特定した主な標的は国家安全保障組織、外務省、有力エネルギー企業――敵対する国家が最も内部通信を読みたがるであろう機関そのものだ。
二次的な被害者の顔ぶれは、ある意味でさらに示唆に富んでいた。Talosは攻撃者が多数のDNSレジストラ、通信会社、インターネットサービスプロバイダーも攻撃していたことを明らかにした。これらは最終的な獲物ではなく、手段だった。インフラプロバイダーを掌握することで、攻撃者は下流の真の標的に対してDNSを操作するためのレバレッジを手に入れたのである。
BleepingComputerの要約は核心をついている。主要な標的は外務省、軍事組織、情報機関、エネルギー企業だった。外国省庁のメールとログイントラフィックを静かに傍受できれば、暗号化を破る必要はない――認証情報を収集し、メールが流れるのをそのまま読めばいいのだ。
攻撃の仕組み:信頼の連鎖を乗っ取る

Sea Turtleが際立って高度だった理由はここにある。攻撃者はほとんどの場合、標的に直接向かわなかった。代わりに、信頼の連鎖を上へと登っていった。
TalosとそれとOを独立した報道が再構成したパターンはおおよそ次のとおりだ。まず、DNSプロバイダー、レジストラ、またはレジストリに足がかりを得る――主にスピアフィッシングまたは既知の脆弱性の悪用による。そのアクセスを使って、標的の正規ユーザーが攻撃者管理サーバーに誘導されるようDNSレコードを書き換える。それらのサーバーは中間者(MitM)レイヤーとして設定された。BleepingComputerによると、Sea Turtleのオペレーターは、ログイン認証情報を窃取する目的で、被害者が利用する正規サービスになりすますMitMフレームワークを構築した。被害者は通常のメールサービスやVPNポータルとまったく同じに見える偽のサイトにログインし、攻撃者はこれらの攻撃者管理サーバーにユーザーがアクセスした際に正規の認証情報を取得し、何も問題がないように見せながら本物のサービスに静かに転送した。
最も巧妙で、最も衝撃的だったのが南京錠(証明書)を無力化した方法だ。トラフィックを迂回させることと、ブラウザの証明書警告を出さずにそれをやり遂げることは別の話だ。Sea Turtleはなりすます対象ドメインの正規かつ有効な証明書を取得することでこれを解決した。Talosは攻撃者が同一ドメインに対して認証局署名のX.509証明書を別のプロバイダーから取得しており、これらの攻撃者はMitMサーバーにLet's Encrypt、Comodo、Sectigo、自己署名証明書を使用していることを確認した。DNSレコードを制御していたため、無料の認証局が依拠する自動ドメイン検証チェックを通過でき、所有していないドメインに対して正規の緑色の南京錠を手に入れることができたのだ。
Brian Krebsは密接に関連する前段階の波を文書化し、同じ手口を描写している。攻撃者はこれらのドメインのDNSレコードを書き換え、自分たちが管理するヨーロッパのサーバーを向くようにしたと見られ、その後SSLプロバイダーのComodoおよび/またはLet's EncryptからそれらのドメインのSSL証明書を取得できた。引用された被害者の一つとして、アラブ首長国連邦の政府機関のメールを処理するmail.gov.aeが挙げられていた。
レジストリの侵害
この作戦の最高水準を示すのが、DNSを単に利用するのではなく、国全体のDNSを運営する組織の侵害だった。
最初に公式に確認された事例はスウェーデンのNetnodに関するものだ。Krebsが報じたところによると、攻撃者はNetnodのドメイン名レジストラのアカウントにアクセスしたとされ、Netnod自身も1月2日に攻撃における自社の役割を知ったと表明した。重要なのは、Netnodが最終目的地ではなく、入口に過ぎなかったことだ。BleepingComputerはNetnodが自分たちは攻撃の標的ではなく、攻撃者が「インターネットサービスのログイン情報を取得する」ための経路だったと述べたことを指摘している。
Talosはより広い意義を率直な言葉で述べた。オペレーターたちはルートサーバーゾーンを管理する組織に対する、公式に確認された最初の事例の実行者だった。インターネットの中核的アドレス帳の一部を運営する人々が静かになりすまされる可能性があるなら、DNSはデフォルトで信頼できるという前提は成立しなくなる。
対応とその後:彼らは止まらなかった
これほどの規模のDNSハイジャックには公式の対応が伴った。2019年1月、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は緊急指令19-01「DNSインフラへの改ざんの緩和」を発出した。これはCISAが初めて発した緊急指令であり、連邦機関に対してDNSレコードの監査、DNS管理アカウントの認証情報変更、それらのアカウントへの多要素認証の有効化を命じた。DNS管理が国家安全保障の最前線となったことの暗黙の承認だった。
しかしSea Turtleについて最も印象的なのは、公開された後に何が起きたかだ。通常、Talosのようなベンダーが手口を公開すれば、ほとんどのキャンペーンは沈黙する。Sea Turtleはその逆をやった。
2019年7月のフォローアップレポートでTalosは、このグループが新たな被害者を発見したと報告した。その中にはccTLDレジストリ、すなわち特定の国コードを使用するすべてのドメインのDNSレコードを管理する機関が含まれていた。具体的には、ギリシャのccTLDを管理するThe Institute of Computer Science of the Foundation for Research and Technology - Hellas(ICS-Forth)――.gr名前空間を運営する機関――が侵害されていた。SecurityWeekは、ICS-Forthが侵害を公式に認めた後も、Ciscoのテレメトリが侵害がさらに少なくとも5日間継続したことを確認したと指摘した。
Talosによるこのグループへの評価は異例なほど率直だった。このグループは異例なほど大胆であり、今後も抑止される見込みはほぼない。その評価は正しかった。Sea Turtleは一過性の事件ではなく、DNSレイヤーでの諜報活動が機能することの実証であり、実行者たちが公衆の目の前でも活動を継続する意思を持っていることの証明だった。
DNSが重要インフラであることが教えること
地政学的文脈を取り除いても、Sea Turtleはインターネットの命名レイヤーの実際の動作についていくつかの不快な教訓を残している。
-
DNSは信頼の連鎖であり、その全体をあなたは制御していない。 あなた自身のセキュリティは万全かもしれない。しかしドメインの解決はレジストラとレジストリを経由しており、どちらかが侵害されれば、あなたのネットワークに一切触れることなくレコードが書き換えられる可能性がある。Sea Turtleは、攻撃者が意図的に最も見通しが利かない連鎖の環を標的にすることを証明した。
-
有効な証明書は正規の宛先の証明ではない。 緑色の南京錠が証明するのは、「現時点でそのドメインを制御している者」への暗号化通信だ――攻撃者がDNSをハイジャックしていれば、その者は攻撃者だ。ドメイン検証型証明書は、検証の根拠となるDNS自体と同程度にしか信頼できない。
-
DNS操作は被害者にはほぼ見えない。 被害者のマシン上でマルウェアは動作しない。エンドポイントスキャナーは何も検出しない。唯一のシグナルは、レコードが本来とは異なる場所を指していることだ――だからこそ、DNSレコードの予期しない変更を監視し、それを固定することが非常に重要なのだ。
-
レジストラおよびレジストリのアカウントセキュリティは国家安全保障のインフラだ。 CISAが初めて発した緊急指令は、本質的にはDNS管理アカウントの認証情報に関するものだった。多要素認証、レジストリロック、DNSレコードを変更できるアカウントへの厳格なアクセス管理は、セキュリティの「あったらいい」機能ではない――ドメインを本当に所有することと、単に所有しているように見えることの差を生む、決定的な要素だ。
Namefiの視点

Sea Turtleは根本的には誰がドメインのレコードを変更することを許可されているかという問題であり、その権限が密かに奪われたとき、残りの世界がそれをどれほど判別しにくいかという話でもある。
従来のモデルでは、その権限はレジストラとレジストリのアカウントに集中しており、あまりにも多くの場合、保護されているのはパスワードとメールアドレスだけだ。それらのアカウントが陥落すれば、ドメインの制御も静かに失われる。誰が正当にその名前を保有しているかについての、独立して検証可能な記録は存在せず、制御が移転するときの改ざん証跡も存在しない。
Namefiはドメイン所有権を、DNSとの互換性を維持しながらも、設計上、検証可能で改ざん耐性を持つものとして扱う。所有権をトークン化することで、誰がドメインを管理しているかについての監査可能で暗号的に固定された記録が生まれ、不正な移転や静かな乗っ取りを明白な痕跡なしに実行することをはるかに難しくする。それ単体では、レジストリがフィッシングされるのを防ぐわけではない。しかしSea Turtleが強調するより広い教訓は、Namefiが構築されている原則そのものだ――ドメインは重要インフラであり、この名前を本当に所有しているのは誰かという問いは、「コントロールパネルにログインできる者」という答えよりも強固な根拠を必要としている。
この作戦は、ドメインを保有することと保有していることを証明することの間のギャップを突いて、政府機関のトラフィックを迂回させた。そのギャップを閉じること――所有権を検証可能にし、移転を監査可能にし、制御の継続性を証明可能にすること――こそが、命名レイヤーがいまだに必要としている回復力のあり方だ。
出典・参考文献
- Cisco Talos — DNS Hijacking Abuses Trust In Core Internet Service
- Cisco Talos — Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques
- TechCrunch — A new state-backed hacker group is hijacking government domains at a phenomenal pace
- Krebs on Security — A Deep Dive on the Recent Widespread DNS Hijacking Attacks
- BleepingComputer — 'Sea Turtle' Campaign Focuses on DNS Hijacking to Compromise Targets
- SecurityWeek — Sea Turtle's DNS Hijacking Continues Despite Exposure
- BankInfoSecurity — 'Sea Turtle' DNS Hijacking Group Conducts Espionage: Report
- CISA — Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering
- SDxCentral — Cisco Talos Says a Nation State Is Behind Sea Turtle DNS Hijacking Attacks
- SecurityWeek — State-Sponsored Hackers Use Sophisticated DNS Hijacking in Ongoing Attacks
著者について
関連ガイド
- 12ドルの1分間:誰かがひっそりとGoogle.comを購入した日2015年9月、元Google社員がGoogle Domainsを通じてgoogle.comを12ドルで購入し、世界で最も価値あるドメインの管理権を約1分間保持した。Sanmay Vedと6,006.13ドルのバウンティ、そして「1分間の所有」が明かすドメイン支配の実態。
- ドメイン危機録 EP03:2020年Twitterビットコインアカウント乗っ取り事件2020年7月15日、攻撃者は電話一本でTwitterに侵入し、オバマ、バイデン、マスク、ゲイツ、Apple、Uberの認証済みアカウントを乗っ取り、ビットコイン2倍詐欺を実行——約11万8,000ドルを詐取した。オンライン上のアイデンティティがいかにして奪われたか、そして「名前を所有する」ことの意味を深く掘り下げる。
- ドメイン緊急事態 EP05:2024年Squarespace DeFiドメイン大量乗っ取り事件2024年7月、Google DomainsからSquarespaceへのレジストラ移行が、デフォルト認証の脆弱性を大規模な攻撃面に変えた。攻撃者はCompound Finance、Celer Network、Pendle、Unstoppable Domainsなど暗号資産・DeFiプロジェクトのドメインを乗っ取り、ウォレットドレイナー型フィッシングサイトに誘導した。「シームレス」な移行がいかにして数百の無施錠の玄関を生み出したか、そしてレジストラセキュリティとMFAについて何を教えてくれるかを解説する。
- BadgerDAOフロントエンド攻撃:1本の注入スクリプトで1億2000万ドルが流出2021年12月、攻撃者はBadgerDAOのCloudflareアカウントを侵害し、ウェブサイトのフロントエンドに悪意あるスクリプトを1本注入した。監査済みのスマートコントラクトには一切手を触れていないにもかかわらず、ユーザーが知らぬまま署名したウォレット承認を通じて約1億2000万ドルが奪われた。ウェブサイトもセキュリティの攻撃面であることを深掘りする。