総務担当者のOSINT

Transcript

1. 総務担当者のOSINT KEYTEC合同会社 野々垣 裕司 2024/02/15 ChuNOG3

2. ⾃⼰紹介 • 野々垣 裕司 (ののがき ひろし) • KEYTEC合同会社 • 仕事でインターネットに携わって27年

   • IPv6に携わって23年 • アンチスパムに携わって15年 • ChuNOG1 LT 20世紀のISP 2024/02/15 ChuNOG3

3. OSINTとは • 公開されている情報 • 集めた情報を分析して役⽴てる • 攻撃して得るものではない • セキュリティ上の問題点 •

   情報流出 • ⾃⾝を守るためだけ 2024/02/15 ChuNOG3

4. 企業としてのOSINT • 技術⾯だけを⾒ているのは間違い • 組織としてちゃんとしているか判断できる • 本来やるべきことをしているか • ウェブサイトからでも判断できる 総務担当者からの視点で⾒ていきます

   2024/02/15 ChuNOG3

5. インターネットの情報 • IPアドレス WHOIS 何処の国? 登録者は誰? • ドメイン名 WHOIS 登録者名、担当者名

   住所 メールアドレス ネームサーバ 登録者⾮公開の場合もあり GDPRの関係かも 2024/02/15 ChuNOG3

6. JPNIC WHOIS IPアドレス Network Information: [ネットワーク情報] [IPネットワークアドレス] 2001:0f58:2003::/48 [ネットワーク名] KEYTEC-NET

   [組織名] KEYTEC合同会社 [Organization] KEYTEC LLC [管理者連絡窓口] HN238JP [技術連絡担当者] HN238JP [Abuse] [ネームサーバ] [割当年月日] 2012/08/09 [返却年月日] 2024/02/15 ChuNOG3

7. JPNIC WHOIS 担当者 Contact Information: [担当者情報] a. [JPNICハンドル] HN238JP b.

   [氏名] 野々垣 裕司 c. [Last, First] Nonogaki, Hiroshi d. [電子メイル] [email protected] f. [組織名] KEYTEC合同会社 g. [Organization] KEYTEC LLC m. [肩書] 代表社員 n. [Title] CEO o. [電話番号] 0587-74-1907 p. [FAX番号] y. [通知アドレス] [email protected] 担当者変更無し? メールアドレスは有効? 管理担当者と一致している? 電話生きている? 登録されているか? 2024/02/15 ChuNOG3

8. JPRS WHOIS Domain Information: [ドメイン情報] a. [ドメイン名] KITS.NE.JP b. [ねっとわーくさーびすめい]

   きーてっく c. [ネットワークサービス名] キーテック d. [Network Service Name] KEYTEC k. [組織種別] ネットワークサービス l. [Organization Type] Network Service m. [登録担当者] HN238JP n. [技術連絡担当者] HN238JP p. [ネームサーバ] nn.kits.ne.jp p. [ネームサーバ] ss.kits.ne.jp s. [署名鍵] [状態] Connected (2023/09/30) [登録年月日] 1998/09/07 [接続年月日] 1998/09/08 2024/02/15 ChuNOG3

9. DNSゾーンチェック RNAME ちゃんと機能している? % dig kits.ne.jp. soa +short ss.kits.ne.jp. nic-man.keytec.jp.

   2023000001 16384 1800 604800 3600 NS一致している? % dig kits.ne.jp. ns +short nn.kits.ne.jp. ss.kits.ne.jp. SPF大丈夫? % dig kits.ne.jp. txt +short | grep spf "v=spf1 -all" % spf.py 127.0.0.1 kits.ne.jp a % spf.py ::1 kits.ne.jp a 2024/02/15 ChuNOG3

10. 間違った組織名 Domain Information: [ドメイン情報] a. [ドメイン名] EXAMPLE.OR.JP e. [そしきめい] ざいだんほうじんちゅのぐきょうかい

    f. [組織名] 財団法人ChuNOG協会 g. [Organization] ChuNOG association k. [組織種別] 財団法人 l. [Organization Type] ASSOCIATION m. [登録担当者] YK000JP n. [技術連絡担当者] HN238JP p. [ネームサーバ] ns1.example.or.jp p. [ネームサーバ] ns2.example.or.jp s. [署名鍵] [状態] Connected (2024/07/31) [登録年月日] 1996/07/04 [接続年月日] 1996/08/21 2024/02/15 ChuNOG3

11. 正しい組織名例 Domain Information: [ドメイン情報] a. [ドメイン名] EXAMPLE.OR.JP e. [そしきめい] いっぱんしゃだんほうちゅのぐ

    f. [組織名] 一般社団法人ChuNOG g. [Organization] ChuNOG Inc. k. [組織種別] 社団法人 l. [Organization Type] Organization m. [登録担当者] YK000JP n. [技術連絡担当者] HN238JP p. [ネームサーバ] ns1.example.or.jp p. [ネームサーバ] ns2.example.or.jp s. [署名鍵] [状態] Connected (2023/12/31) [登録年月日] 2000/12/06 [接続年月日] 2000/12/07 2024/02/15 ChuNOG3

12. 法⼈なのに代表者名義 Domain Information: [ドメイン情報] [Domain Name] EXAMPLE.JP [登録者名] 日本 太郎

    [Registrant] Nippon Taro [Name Server] ns1.example.jp [Name Server] ns2.example.jp [Signing Key] [登録年月日] 2014/02/25 [有効期限] 2024/02/29 [状態] Active 2024/02/15 ChuNOG3

13. ⾮公開にしている Domain Information: [ドメイン情報] [Domain Name] EXAMPLE.JP [登録者名] （登録者からの申請により非表示） 詳細は→https://jprs.jp/about/dom-rule/whois-concealment/

    [Registrant] (Not displayed by registrant's request) For details -> https://jprs.jp/about/dom-rule/whois- concealment/ (only in Japanese) [Name Server] ns.example.jp [登録年月日] 2016/02/16 [有効期限] 2024/02/29 [状態] Active 2024/02/15 ChuNOG3

14. 総務としての情報 • 法⼈番号 国税庁法⼈番号公表サイトにて検索できる。 • 登記事項証明書 法務局で⼊⼿可能 (480〜600円/件) • 電気通信事業者

    総務省サイト 登録及び届出電気通信事業者⼀覧 • 信⽤調査会社 帝国データバンク、東京商⼯リサーチ(千数百円より/件) 2024/02/15 ChuNOG3

15. これは? 2024/02/15 ChuNOG3

16. 情報分析する1 • IPアドレスおよびドメイン名の登録者 汎⽤JPドメイン名にて、法⼈利⽤なのに個⼈名? 法⼈なのに法⼈番号検索で⾒つからない? その会社潰れたの? 合併や組織名変更⼿続きしていない? なぜやれない? ⾮公開になっている →

    営利法⼈でやましいことあるんですか? lame delegation → 放置しているのがわかる • ウェブサイト上の組織紹介 ドメイン名登録名とサイトの組織名が違う 登記上の本店住所の記載が無いのはなぜ? 2024/02/15 ChuNOG3

17. 情報分析する2 • 古いセキュア通信になっていなか 未だにTLSv1.2以上になっていない(ウェブ,メール) 3DES,RC4,MD5が無効になっていない。 • 受け取ったメール 今どきSPFレコードがない? 本物なのにSPF/DKIM/DMARC等がPass/None以外になってい る。

    DMARCレポートを送信してもバウンスメールが届く。 (休暇中/Quota over/でたらめ/転送している) 2024/02/15 ChuNOG3

18. 情報分析する3 • DNS設定 セカンダリDNSが⽌まっていたり、プライマリDNSと⼀致して いない SOAレコードRNAMEのメールアドレスが無効になっている TTLが極端に短くなっている 親⼦でNSレコードが違う • 問題点を該当企業に報告しようとすると

    連絡先が⾒つからない 返事が無い 間違いそのまま放置(私の知る最⼤は10年) 2024/02/15 ChuNOG3

19. 資源管理やチェックができていないと • ドメイン名失効 → そのままオークションに出品されていた • イベント毎にドメイン名新規登録 → 終わったらどうするの? •

    SPFレコードを2つ書いた → メールが届かない • Microsoft365/Google Workspaceを利⽤ → SPFレコードはIPv4/IPv6混在となる → 混在の記述は難しく、間違いは⾮常に多い • ⾃社ですらできないのであれば、顧客に対してもできないので は 2024/02/15 ChuNOG3

20. 2024/02/15 ChuNOG3

21. 情報に⽭盾や間違いがあると • 技術と総務の連携ができていない組織かも。 組織内が縦横割されてうまくまわっていないのでは? • 問題が発⽣するまで何もすることはない それってセキュリティ⾯の脆弱性も放置していませんか? • 罰則はないからそのまま 広義のコンプライアンス問題では?

    そんな⾯から組織がOSINTから評価されてしまいます。 2024/02/15 ChuNOG3

22. 組織の評価を下げる脆弱性 • 情報収集する⾯もあれば、情報収集される⾯もある。 • 技術も総務も公開されている情報は常に最新にしましょう。 • WHOIS DBは最新にしましょう。組織の評価を知らないところ で下げています。 •

    他⼈(他社)から指摘される前に⾃信で確認しましょう。 • 指摘されてもできない組織はおそらくブラックです(経験談)。 2024/02/15 ChuNOG3

23. ネットワーク事業者だけの問題ではない **NOGにてとりあげる事はネットワーク事業者対象の内容が多 い インターネットを利⽤する全ての組織が関わる問題 「継続は⼒なり」 あらゆる⾯で継続維持管理することが⼤切 2024/02/15 ChuNOG3

24. 今後どうしていけばよいか • 登録/導⼊しただけで終わっている 維持することが⼤切 担当者が変わったら引継も⼤切 • ドメイン名やRFCに対してのコンプライアンスとして捉えるべ き 総務担当者は⾏政機関に対してミスをすると罰⾦となる •

    ⾃組織でできないorわからないならば、できる業者に依頼する ⾏政機関の⼿続きであれば⼠業に依頼していますね • ISO9000取得企業でも⼤丈夫ですか? 2024/02/15 ChuNOG3

25. 意⾒質問 2024/02/15 ChuNOG3

26. ありがとうございました 少しでも何か気づいて持ち帰っていただけたらと思います。 2024/02/15 ChuNOG3