MasterCardが5年にわたりDNS設定ミスをしていたことが判明

クレジットカード大手のMasterCardで、2020年から2025年にかけての5年間、DNSサーバー名の設定にミスがあり、誰でもトラフィックを傍受したり迂回させたりできる状態になっていたことがわかりました。

MasterCard DNS Error Went Unnoticed for Years – Krebs on Security
https://krebsonsecurity.com/2025/01/mastercard-dns-error-went-unnoticed-for-years/

セキュリティ専門家のブライアン・クレブス氏によると、MasterCardは、「mastercard.com」のDNSサーバーとしてAkamaiのサーバーを使用しています。本来、DNSの設定で「akam.net」のサーバーを指定しなければならないところが5つあるのですが、そのうち1つが1文字足りない「akam.ne」になっていたとのこと。

問題に気がついたのはセキュリティ企業・Seralysの創業者であるフィリップ・カチュレグリ氏です。

「.ne」はニジェールで用いられる国別トップレベルドメインで、「akam.ne」は誰も登録していなかったことから、カチュレグリ氏はサイバー犯罪者による悪用を避けるため、3カ月の時間と300ドル(約4万7000円)を費やして自身で登録しました。いざakam.neのDNSサーバーを有効にすると、世界中から1日に何十万ものDNS要求があることがわかりました。MasterCard以外にも、複数の企業や組織が同じ「akam.ne」を指定してしまうというミスを犯していたとのこと。

もしカチュレグリ氏が悪意を持って「akam.ne」を運用した場合、たとえばメールサーバーを有効にすることでMastercard宛のメールを受け取ったり、mastercard.comのサーバー証明書を取得して完全な「なりすましサイト」を作成したりすることも可能でしたが、カチュレグリ氏は「akam.ne」が自分のドメインであることをMasterCardに通知しました。連絡を受けたMasterCardは、設定にミスがあったことを認めたそうです。

なお、カチュレグリ氏は問題をただちにMasterCardに知らせたのち、DNS設定エラーがあった話をLinkedInに投稿しましたが、MasterCardはバグ報奨金プログラムのBugcrowd経由で「内容の公表は倫理的なセキュリティ慣行にそぐわない」として投稿の削除を求めてきたとのこと。

カチュレグリ氏はBugcrowdのアカウントは保有しているものの、プログラムを通じてバグを報告したことはなく、「情報を公開する前に、影響を受けたドメインが悪用されないように登録されていることを確認し、MasterCardや顧客のリスクの可能性を軽減しました。自費で行ったこの措置は、倫理的なセキュリティ慣行と責任ある情報開示に対する弊社の取り組みを示すものです」と反論。自身が取った対応についてMasterCardが費用を負担してくれるか、せめて感謝してくれればと思っていたところへの意外な反応に「我々(Seralys)はこうした評価に同意しません」と述べました。

ちなみに、クレブス氏によると「akam.ne」は2016年に、ロシアの大手検索サービス「Yandex」のメールアドレスを用いるユーザーが一度登録していて、ドイツのサーバーに接続されていた時期があるものの、2018年に期限切れになっていたとのことです。