最近、韓国の金融保安院(FSI)は、金融機関をターゲットにした NXDomain Hunter という新たなサイバー脅威に関する詳細な分析レポートを発表しました。このハッキンググループは、セキュリティが脆弱で管理されていないシステムを特定し、これらを活用して内部に侵入することを目標にしています。今回の記事では、NX Domain Hunterの攻撃手口と、金融機関がCriminal IPの攻撃対象領域管理(ASM)ソリューションを利用してこのような脅威にどう対応できるかをご紹介します。
NXDomainフラッドとサブドメインスキャン攻撃:金融機関を狙った事例
サブドメインスキャン攻撃
NXDomainフラッド攻撃は、大量のDNSクエリを通じて存在しないドメインに対して無駄なリクエストを発生させ、DNSサーバーのリソースを消耗させ、サービス拒否(DoS)状態を引き起こします。一方、サブドメインスキャン攻撃は、特定のドメインのサブドメインを体系的に検索し、ネットワーク構造を把握し、未だ保護されていないリソースや新しい攻撃経路を見つけることに重点を置きます。
| 項目 | NXDomainフラッド攻撃 | サブドメインスキャン攻撃 |
|---|---|---|
| 攻撃の影響 | DNSサーバーのリソースに過度の負荷をかける | |
| トラフィックの特徴 | 高いNXDomainの応答率 | |
| 攻撃の目的 | サービス可用性の侵害 | 脆弱なドメインの特定 |
| クエリドメイン | ランダムドメイン | 存在する可能性のあるドメイン |
| 送信元IPの改ざん | 改ざん可 | 改ざん不可 |
金融機関は、NX Domain Hunterのサブドメインスキャン攻撃に脆弱かもしれません。金融保安院の分析によると、この攻撃グループは、様々な金融会社と子会社に対して順次サブドメインスキャン攻撃を実施しており、金融会社または子会社ごとに流入された攻撃トラフィックを1時間単位で区分して分析した結果、攻撃対象ごとに主に攻撃が入る特定の時間帯が存在することを確認しました。
定期的に発生する攻撃トラフィックは、スキャナのようなツールで規則的に生成されていると推定され、実際に様々なパブリックIPを活用して特定のターゲットを指定した後、順次攻撃を行っていることを確認しました。実際のパブリックIPとトラフィックを分析することて、金融保安院はNXDomain HunterがNXDomainフラッド攻撃ではなく、サブドメインスキャン攻撃を目的として攻撃を実行していると推定しています。
Criminal IP ASM:金融機関のための最適な攻撃対象領域管理ソリューション
セキュリティが脆弱で管理されていないシステムより内部に侵入する外部脅威に効果的に対応するために、金融機関には攻撃対象領域管理(ASM)ソリューションを活用することをお勧めします。Criminal IPの攻撃対象領域管理ソリューションである「Criminal IP ASM」は、自動資産検知、リスク評価、リアルタイムモニタリングなどの機能を通じて、金融機関が攻撃対象領域を徹底的に管理できるように支援します。
Criminal IP ASMは、セキュリティが脆弱で管理されていないシステムを通じて内部に侵入する外部脅威に備えられる強力な攻撃対象領域の検知機能を提供します。こ検知された内容に基づき、放置された資産と脆弱性情報を可視化したレポートで提供し、金融機関が攻撃対象領域を事前に把握して潜在的な脅威に対応することができます。
- 自動資産検知:代表ドメインさえ入力するだけで、世界中に接続されているすべてのIT資産を自動的に識別し、ダッシュボードで可視化します。このようなプロセスで、すべてのサブドメインとIPアドレスが検出され、攻撃対象領域を一目で把握することができます。
- 脅威の評価および可視化:検出された資産の危険レベルをHigh、Medium、Lowに分類し、直観的なダッシュボードを提供します。この機能により、資産のセキュリティ状態を迅速に評価し、リスク要素を視覚的に理解することができます。
- リアルタイムモニタリング:リアルタイムで資産のセキュリティ状態を監視することができます。
進化するサイバー攻撃に対するCriminal IP ASMの重要性
金融保安院の分析によると、スキャン攻撃に効果的に対応するためには、脆弱なドメインが外部にアクセス可能な状態で運営されないように措置する必要があり、さらに組織内部で継続的な攻撃対象領域管理(ASM)を通じて攻撃にさらされる攻撃対象領域を減らし、潜在的な脅威を事前に遮断してセキュリティ状態を強化する努力が必要です。Criminal IP ASMは、このようなサイバー脅威に対する効果的な対応プラットフォームとして、金融機関や企業がセキュリティ管理の側面でより強化された防御力を提供できるように支援します。
さらに、攻撃対象領域管理を活用したサイバー資産公開の対応事例は、公開IT資産 の検知:Criminal IP ASM活用事例(2)をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)、金融保安院(https://www.fsec.or.kr/bbs/detail?menuNo=244&bbsNo=11509)
ご参照:
