EasyDnsは、eth.limoドメインの乗っ取りに伴うセキュリティの失敗を認める

EasyDNSは、自社システム内のセキュリティ障害により、ソーシャルエンジニアリング攻撃者が一時的にeth.limoの制御を奪取したことを確認しました。
これは、Ethereum Name Serviceの主要ゲートウェイです。

概要

• 攻撃者はeth.limoのチームメンバーになりすまして、easyDNSのアカウント回復プロトコルを回避し、ドメイン設定の制御を獲得しました。
• DNSSECの保護により、正当な暗号署名のない偽の応答を拒否することで、ユーザーを悪意のあるサイトへリダイレクトされるのを防ぎました。
• EasyDNSは、アカウント回復の脆弱性を排除し、今後のソーシャルエンジニアリング攻撃を防ぐために、サービスをDomainsureに移行しています。

この事件は金曜日に発生し、攻撃者はeth.limoのチームメンバーになりすましてアカウント回復プロセスを開始し、ネームサーバーのレコードを変更してドメインをCloudflareにリダイレクトする権限を得ました。

eth.limoのチームは土曜日に公開した事後報告で、DNSハイジャックが判明した際に直ちにコミュニティやEthereum共同創設者のVitalik Buterinなどの著名な人物に通知したと述べました。

eth.limoは、約200万の分散型ウェブサイトの橋渡し役を務めており、成功すればハッカーがユーザーを悪意のあるページに誘導できるため、高リスクのターゲットです。Buterin自身も金曜日に緊急警告を発し、チームが安全な運用を回復するまで彼のブログを避けるよう読者に呼びかけました。

セキュリティ拡張により広範な影響を防止

EasyDNSのCEO、Mark Jeftovicは、DNSSEC(DNSSEC)の存在が攻撃者によるさらなる被害を防ぐ上で重要な役割を果たしたと指摘しました。

ハッカーが必要な暗号署名鍵を持っていなかったため、現代のDNS対応リゾルバは偽の応答を拒否し、ユーザーはエラーメッセージを表示されるだけでフィッシングサイトに誘導されませんでした。

「我々は失敗し、それを認めます」とJeftovicは土曜日に述べ、この攻撃は同プロバイダーの28年の歴史の中で初めて成功したソーシャルエンジニアリングの侵害であると認めました。

eth.limoの開発者は、自身の報告書で、これらのセーフガードがハイジャックの「爆発範囲」を縮小した可能性が高いと指摘しました。サービスは一時的に停止しましたが、現時点でユーザーへの影響や資金の損失は確認されていません。

Jeftovicは、eth.limoは現在、手動のアカウント回復メカニズムを提供しないエンタープライズグレードのプラットフォーム、Domainsureに移行中であり、この攻撃で悪用された抜け穴を実質的に閉じていると付け加えました。

今回の事件は、暗号セクターを襲う多くのインフラ攻撃の一つです。わずか数日前の4月14日、分散型取引所のアグリゲーターCoW Swapは、.fiレジストリに対する類似のソーシャルエンジニアリング攻撃により、数時間ドメインの制御を失い、影響を受けたユーザーから約120万ドルの損失を出しました。