MastercardのDNS設定ミス、長年見過ごされる

MastercardのDNS設定ミス

• Mastercardはドメインネームサーバー設定の誤りを修正した。
• この誤りにより、未使用のドメイン名を登録してインターネットトラフィックを傍受または迂回できる状態になっていた。
• この問題は約5年間続いており、セキュリティ研究者が300ドルをかけてドメインを登録し、サイバー犯罪者による悪用を防いだ。

問題の発見と解決の経緯

• 2025年1月14日、az.mastercard.com ドメインのDNSルックアップで、誤ったドメイン名 a22-65.akam.ne が見つかった。
• MastercardはAkamaiのDNSサーバーを使用しており、すべてのサーバー名は akam.net で終わるべきだが、1つのサーバーが誤って akam.ne に設定されていた。
• セキュリティコンサルタントのPhilippe Caturegliがこの誤りを発見し、akam.ne ドメインを登録して問題に対処した。

潜在的なリスクと対応

• Caturegliは akam.ne ドメインにDNSサーバーを設定した後、世界中から数十万件のDNSリクエストを受信した。
• メールサーバーも設定していれば、Mastercard.com や他の影響を受けたドメイン宛てのメールを受信できた可能性があった。
• CaturegliはMastercardにこの問題を通知し、同社がそのドメインを引き継げるようにした。

Mastercardの反応

• Mastercardは、この誤りはシステムセキュリティへの脅威にはならなかったと主張した。
• Bugcrowdを通じて、CaturegliはLinkedInの投稿を削除してほしいという要請を受けた。
• Caturegliは、Bugcrowd経由で問題を報告したのではなく、悪用防止のためにドメインを登録したのだと説明した。

DNSサーバーの重要性

• ほとんどの組織は、少なくとも2台の権威DNSサーバーを保有している。
• Mastercardは5台のDNSサーバーを使っており、1つのドメインだけを制御しても、見られるDNSリクエストは全体の約5分の1にとどまる。
• Caturegliは、パブリックトラフィックフォワーダーやDNSリゾルバーを使う利用者が多いため、1つのリゾルバーが誤った結果をキャッシュすると、さらに多くのトラフィックを迂回させられると説明した。

Caturegliの追加コメント

• Caturegliは、Mastercardが感謝を示すか、少なくともドメイン購入費用を補償すると期待していた。
• Mastercardの公開声明に対しては、LinkedIn上でDNSルックアップの記録を共有しつつ反論した。

その他の関連情報

• akam.ne ドメインは2016年12月に初めて登録され、2018年に失効した。
• 類似のタイプミスドメイン awsdns-06.ne もYandexユーザーによって登録され、ドイツのISPでホスティングされていた。