Upgrade to Pro — share decks privately, control downloads, hide ads and more …

dropcatch_digital-archives-20181102.pdf

8b87ad1460f4051001d3b70211f05576?s=47 hiro
November 02, 2018

 dropcatch_digital-archives-20181102.pdf

8b87ad1460f4051001d3b70211f05576?s=128

hiro

November 02, 2018
Tweet

Transcript

  1. ドロップキャッチと デジタルアーカイブ問題 第19回セキュリティ共有勉強会@マネーフォワード 2018/11/02 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)

  2. アジェンダ 1 ドメイン名とは? 2 ドロップキャッチに気をつけろ! 3 VirusTotalやWayBackMachineを使ったドメインの調査 4 デジタルアーカイブ問題 5 どうすればいいのか? 6 まとめ 2 ▪参考情報 ・ドロップキャッチとは(2007/12/17)

     https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害~高い信頼性標的(2016/11/15)  https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html ・NHK関連サイトのドメイン、ネットに出品 悪用の恐れ(2018/10/15)  https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html ・内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得  http://www.itmedia.co.jp/news/articles/1805/09/news089.html ・「元気な羽島応援寄附金(ふるさと納税)」掲載サイトの閉鎖について(2018/06/08)  http://www.city.hashima.lg.jp/0000010441.html ・なぜ !? 沖縄平和学習デジタルアーカイブが5年で運営停止 !?(2018/07/28)  http://battle-of-okinawa.hatenablog.com/entry/2018/07/28/200540 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題(2018/10/05)  https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/ ・ドメイン管理ガイドの整備(2016/12/01)  https://cio.go.jp/node/2323
  3. 3 ドメイン名とは? ▪「ドメイン名」はインターネット上の住所 ・ドメイン名ってなに? - JPRS  https://jprs.jp/related-info/about/address/ ・ドメイン名のしくみ  https://www.nic.ad.jp/ja/dom/system.html  ドメイン名は「インターネット上の住所表示」に例えられます。ドメイン

    名は、ホームページアドレス(URL)やメールアドレスの一部として使わ れます。
  4. 4 「レジストリ」と「レジストラ」と「レジストラント」 ・レジストリ(Registry)  ⇒登録ドメイン名のデータベースを維持管理する機関   存在するトップレベルドメイン(.jp、.com、.org…)の数ある。   ※.jpのレジストリは、JPRSです。 ・レジストラ(Registrar)  ⇒登録者からドメイン名の登録申請を受け付け、その登録   データをレジストリのデータベースに登録する事業者   ※お名前ドットコム、バリュードメイン、GoDaddyなどが有名。

    ・レジストラント(Registrant)  ⇒ドメイン名の登録者(所有者)をレジストラントといいます。   ※Whois情報から攻撃者の情報が得られる場合もあります。     代理公開の場合はレジストラ名となるため分かりません。 ・レジストリ/レジストラとは - JPNIC  https://www.nic.ad.jp/ja/basics/terms/registry-registrar.html ・ドメイン用語集 - ゴンベエドメイン  https://www.gonbei.jp/guide/vocabulary.html
  5. 5 ドロップキャッチに気をつけろ!(1/3) ▪ドロップキャッチとは? ・ドロップキャッチとは(2007/12/17)  https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害~高い信頼性標的(2016/11/15)  https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html  ドメイン名の有効期限が切れたタイミング(更新を忘れた又は手 放すなど)を狙い、再登録可能になった瞬間に元の登録者ではな い第三者が当該ドメインを登録する行為。

    【読売新聞】 新居浜市観光サイトが3月末まで使っていた「niihamakanko.com」 を4月に「www.city.niihama.lg.jp/kanko/」に移行した後、旧ドメイン の使用の権利を手放したため、外国人名の人物が取得。登録さ れたIPアドレスからサーバーはカナダにあるとみられる。 ▪愛媛県新居浜市の観光サイトの事案(2016/11/15)
  6. 6 ドロップキャッチに気をつけろ!(2/3) ▪人気ドメインはオークションに! ・NHK関連サイトのドメイン、ネットに出品 悪用の恐れ(2018/10/15)  https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html

  7. 7 報道のあったドロップキャッチ事案 組織名 報道日付 ドメイン名 元サイト 現在の状態 愛媛県新居浜市 2016.11.15 niihamakanko.com

    観光サイト オークション中 内閣府 2017.12.22 cyber3conf-okinawa2015.jp Cyber3 Conference Okinawa 2015 アダルトサイト 内閣府 2018.05.09 sip-cao.jp SIP ※ 風俗サイト 岐阜県羽島市 2018.06.08 arigato-hashima.com ふるさと納税サイト アダルトサイト 地方公共団体 情報システム機構 2018.07.21 lascdec.or.jp 地方自治情報センター (2014年4月からJ-LIS) 一時凍結 NHKエンタープライズ 2018.10.15 nhk-grp.jp NHKグループ オークション中 さいたま市 2018.10.31 world-bonsai-saitama.jp 世界盆栽大会 in さいたま アダルトサイト ※戦略的イノベーション創造プログラム ▪ドロップキャッチされると何がダメなのか ・利用者は、以前の信頼されたサイトだと思ってアクセスしてくる ・フィッシングサイトに悪用されたり、マルウェア感染狙いも
  8. 8 ご参考: 組織合併時等における属性型・地域型JPドメイン名の 1組織1ドメイン名制限緩和(2014年4月17日) 「組織名変更」「合併」「事業譲渡」が2014年2月17日以降 に発生し、その事実が客観的かつ公に確認可能である 場合には、1組織にて2つ以上の属性型・地域型JPドメイ ン名の登録を可能としました。 ・「属性型(組織種別型)・地域型JPドメイン名登録等に関する規則」の改訂について(改訂主旨)(更新)  https://jprs.jp/whatsnew/notice/2014/20140217-rule.html

  9. 9 VirusTotalを使ったドメインの調査 ▪VirusTotalで niihamakanko.com ドメインを調査 公式サイトによる 運用 ドロップキャッチ されたドメインに よる運用?

    ・VirusTotal  https://virustotal.com
  10. 10 Censysを使ったIPアドレスの調査 ▪IPアドレスをホストしている場所を調査 ・Censys  https://censys.io 読売新聞の記事で カナダとあるのは、 ここから…

  11. 11 RiskIQによる詳細調査(1/3) ▪RiskIQでIPアドレスの変遷を確認 ・RiskIQ Community Edition  https://community.riskiq.com/login RiskIQでは、VTより 細かくIPの記録が 残っている。

    カジノサイトとして運営 されたのは、21日間だ けだった。
  12. 12 RiskIQによる詳細調査(2/3) ▪RiskIQでWhoisの変遷を確認 VTでは見れないWhois の履歴が、RiskIQでは 確認できる。 読売新聞の記事で 外国人が登録とあ るのは、ここから 住所は、

    東京都千代田区 一番町21番地
  13. 13 RiskIQによる詳細調査(3/3) ▪RiskIQでWhoisの変遷を確認 カジノサイトが運営 していたIPは、 192.64.147.141 読売が記事を書い た時点のIPは、 104.152.168.34 カナダ  じゃなくて

    アメリカ  だった! 読売の記事は間違い!
  14. 14 WaybackMachineを使ったサイトの調査(1/2) ▪2016年3月当時のアーカイブを確認 Internet Archive: Wayback Machine https://archive.org/web/   巡回で収集された

    時点のコンテンツ が閲覧できる。
  15. 15 WaybackMachineを使ったサイトの調査(2/2) ▪2016年11月当時のアーカイブを確認 まるで、新居浜市観光課が カジノサイトと提携したかの ような書きぶり!

  16. 16 デジタルアーカイブ問題(1/4) ▪Webコンテンツは取っておく意志がないと残らない? WayBackMachineには、1996/10/23のYahoo.com のアーカイブが保存されている。(22年前!)

  17. 17 デジタルアーカイブ問題(2/4) ▪大手無料ホームページサイトの閉鎖(2018/10/01) ・Yahoo!ジオシティーズサービス終了のお知らせ  https://info-geocities.yahoo.co.jp/p/close/ 2019年3月末 閉鎖

  18. 18 デジタルアーカイブ問題(3/4) ▪予算の問題でコンテンツが捨てられる事案が発生 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題(2018/10/05)  https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/

  19. 19 デジタルアーカイブ問題(3/3) ▪動的コンテンツの場合はうまくアーカイブされない問題 東京大学の 渡邉教授から ツイート 動的コンテンツ が再生されない

  20. 20 どうすりゃいいの? ▪ドメインの管理 ・Web サイト等の整備及び廃止に係るドメイン管理ガイドライン (平成30年3月30日)  https://cio.go.jp/sites/default/files/uploads/documents/domain_guideline.pdf 公共性が高いコンテンツは悪用されやすいの で、特にご注意を! 1年以上前から

    移行を告知 旧ドメインは 一定期間保持 するしかない
  21. 21 まとめ ◆ドメインを廃止する場合、影響範囲(知名度、被リ  ンク)を確認の上、事前に周知するなどの準備を。 ◆しばらく旧ドメインを保有しておくことも検討。 (ドロップキャッチされ風評被害となる可能性) ◆廃止ドメインの更新費用も盛り込んでおきましょ  う。(年間数千円をケチるな!) ◆汎用ドメインを持つならずっと持ち続ける覚悟を! ◆VirusTotal、WayBackMachine、RiskIQなどの

     OSINTツールで調査すると面白いぞ!
  22. ご清聴ありがとうございました。 22 次回予告 『DoS/DDoS攻撃』