能動的ドメイン名ライフサイクル管理のすゝめ / Practice on Active Domain Name Lifecycle Management

Transcript

1. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 能動的ドメイン名ライフサイクル管理のすゝめ 2024年12月20日 NTTコミュニケーションズ 森山 美保 神田 敦 NCA Annual Conference 2024

2. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 2 使い終わったドメイン名、 そのままにしていませんか？

3. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 3 NTT Comのネットワーク資源管理状況

4. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 4 ネットワーク資源の管理状況 (PAST) ComNIC設立以前 各組織で各種資源を管理していたため、情報を一元的に見る手段がない →2020年の不正アクセスによるインシデントで被害範囲を特定するのに ものすごく時間がかかることに… 我々は1.1.1.0/24を管理しています！ 我々はexample.ntt.comを管 理しています！ ・・ ・・ ・・

5. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 5 ネットワーク資源の管理状況 (NOW) ComNIC設立後 ・・ ・・ ・・ ・・ ・・ 各種ネットワーク資源のデータベース化 ComNICがそのデータベースの管理責任を持つ ComNIC 管理 だれがどの資源を利用しているのか俯瞰して見ることができるようになった

6. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 6 ドメイン名の申請方法 ComNIC ポイント • 基本的にComNICが管理する ”ネットワーク資源管理システム (NW資源管理システム) ” を通じて申請してもらう • 申請できるドメイン名は基本 “ntt.comサブドメイン” としているが、用途がそぐわない場合に限り “独自ドメイン” も 申請可能 新規申請/廃止申請 広報室など ①申請 ②内容の確認 ③内容の照会 ⑤DNS設定 DNS担当 ④承認 ドメイン名利用者 NW資源管理 システム ※③⑤は新規申請のみ必要となるフロー

7. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 7 ドメイン名ドロップキャッチによるリスクと対策

8. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 8 ドメイン名のドロップキャッチによるリスク 企業のサービスなどで使われていたドメイン名には価値があり、ドメインオークションにかけられたり、 ドロップキャッチされて、第三者に悪用されると会社の名誉を棄損する可能性がある。 なぜ「ドコモ口座」のドメインがオークションに？ ドコモの 見解は（山口健太） - エキスパート - Yahoo!ニュース 【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用いただいていた 法人のお客さまにおける“tracer.jp”タグ削除のお願い ドロップキャッチ事例： ドメインオークション事例：

9. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

   2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 9 ドメイン名のドロップキャッチ対策 利用終了したドメイン名が勝手に廃止され、ドロップキャッチなどのリスクにさらされないために ComNICでは以下3つの対策を実施中 ①独自ドメインではなく、ntt.comサブドメインの利用促進 ②退職者/異動者の定期的な確認 (管理者情報の最新化) ③永年保有ポリシーの策定

10. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 10 ドメイン名のドロップキャッチ対策 ドメイン名利用中 ドメイン名利用者 従業員情報 システム 退職者/異動者 チェック 情報の最新化 NW資源管理 システム 常に情報を最新に保つためにドメイン名の 管理者/担当者が退職/異動のステータスに なっていないか確認 ComNICが実施していること ① 独自ドメインではなく、ntt.comサブドメインの利用促進 ② 退職者/異動者の定期的な確認 (管理者情報の最新化) ③ 永年保有ポリシーの策定

11. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 11 ドメイン名のドロップキャッチ対策 ～～～ 3.7.ドメインの利用終了 管理情報更新の結果、利用終了予定を過ぎているntt.comサブドメインに関しては、 廃止を実施する。独自ドメインについては、ドロップキャッチ等のリスクを考慮し、 利用終了後ComNICへの移管を行い、ComNICにて保持することとする。 ～～～ ComNICが実施していること ① 独自ドメインではなく、ntt.comサブドメインの利用促進 ② 退職者/異動者の定期的な確認 (管理者情報の最新化) ③ 永年保有ポリシーの策定 ドメインポリシー

12. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 12 ドメイン名の終活、その一歩先へ 我々が行っている利用終了したドメイン名の永年保有にも課題がある… ①ドメイン名の維持料が毎年かかる ②一組織が利用していないドメイン名を保持し続けることの悪影響 利用終了したドメイン名へのアクセスログ、DNSクエリを監視し、 能動的なドメイン名管理を実施中

13. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 13 NTT Comの挑む“新たな終活のカタチ” 〜OODA型 利用終了ドメイン名管理〜

14. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 14 OODA型 利用終了ドメイン名管理 Observe （観察） Orient （状況判断） Decide （意思決定） Act （行動） ドメイン名の （リスク）状況を判断 リスク低減策の計画 アクションの実行 ドメイン名に対する アクセス※ を観測 ※ DNSクエリ、Webアクセス、メール OODA ループ

15. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 15 終活から得た学び

16. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 16 ① ただ休眠させておくのは実は危険

17. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 17 7/1 ~ 11/11 の DMARCレコードクエリ件数（1日あたり） 0.0 5.0 10.0 15.0 20.0 25.0 30.0 35.0 40.0 average (per day) 利用終了ドメイン名へのDMARCクエリ 【Observe】利用終了ドメイン名へのDMARCレコードクエリ

18. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 18 【Observe】利用終了ドメイン名へのDMARCレコードクエリ 【Orient】主要なDMARCチェックサービスではない ⇨ なりすましメールが配送されて、DMARC認証が走った可能性 【Decide/Act】なりすまし対策レコードの設定 （DMARCレポート受信も検討中） 利用終了ドメイン名へのDMARCクエリ https://scan.netsecurity.ne.jp/article/2024/08/30/51554.html

19. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 19 なりすまし対策DNSレコード • [MUST] DMARCレコード 認証失敗時にメール受信拒否するよう求める • [SHOULD] SPFレコード あらゆるIPアドレスを送信元IPアドレスとして許可しない • [SHOULD] MXレコード メールサーバが存在しないことを明示する（Null MX） TXT "v=DMARC1; p=reject; aspf=s" TXT "v=spf1 -all" MX 0 . ※ あくまで全くメールを送受信しないドメイン名のケース （注）SPFレコードが存在しない場合、DMARC認証は失敗ではなく エラーとして扱われるため、その動作は受信環境依存 （注）より確実なメール受信拒否のためにはSPFレコードも設定推奨

20. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 20 ② 後片付けは完璧とは限らない

21. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 21 高頻度アクセス 【Observe】特定の送信元IPからの高頻度アクセス 【Orient】特徴的な通信パターン • 周期性 • 特徴的なURLパス • /alertmanager/ • /healthcheck • /Prometheus/metrics ⇨ 監視設定が残っている可能性 ⇨ 送信元IP（＋ちょっとのOSINT）調査で関係者を特定 【Decide/Act】関係者にコンタクトを取り是正（監視設定削除）

22. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 22 漏れがちなサービス終了対応 • 監視・検証設定 • 特に運用をアウトソースでやっていた場合は要注意 • 逆引きゾーンからのDNSレコード削除 • 正引きと比べて忘れられやすい

23. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 23 ③ アクセス流入経路は遡って断てる （が、ちょっと工夫がいる）

24. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 24 被リンクサイト経由アクセス 【Observe】外部Webサイトからリンクを辿ってきたと思しきアクセス （＝ Refererヘッダ付き） 【Orient】被リンクサイト・ページ特定のため調査

25. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 25 ここで立ちはだかる壁

26. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 26 被リンクページ特定の壁 • 課題 最近のWebブラウザはRefererに詳細なパスを載せないことがほとんど Webサイト（のドメイン名）はわかるが、該当のページがわからない • 工夫：Google Dorks ※ • site演算子：指定されたドメイン名でインデックスされているWebページを検索 • link演算子：指定URLへのリンクを含むWebページを検索 ※ 検索演算子を駆使して狙った情報を収集するテクニック site:example.com link:aaa.example

27. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 27 被リンクサイト経由アクセス 【Observe】外部Webサイトからリンクを辿ってきたと思しきアクセス （＝ Refererヘッダ付き） 【Orient】被リンクサイト・ページ特定のため調査 ⇨ Google Dorksの応用で被リンクページを特定 【Decide/Act】リンク削除対応（依頼） After Before

28. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 28 ④ コーポレートドメイン名には 特に気をつけろ

29. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 29 メール配送アクセス 【Observe】かつてコーポレートドメイン名として使っていたドメイン名へのMXレコードクエリ （他のドメイン名と比べるとMXの比率が高い） 観測されたDNSクエリ比率 曜日ごとMXレコードクエリ数

30. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 30 メール配送アクセス 【Observe】かつてコーポレートドメイン名として使っていたドメイン名へのMXレコードクエリ （他のドメイン名と比べるとMXの比率が高い） 【Orient】メール受信環境を用意し、メールの中身をチェック 【Decide/Act】検討中 自主規制（詳しくは当日口頭のみ） コーポレートドメイン名は そう易々と廃棄できると思わない方がよい

31. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 31 まとめ/Key Takeaways

32. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 32 Key Takeaway • NTT Comにおけるドメイン名一元管理体制とプロセス • コーポレートサブドメイン利用促進 • 管理者情報の最新化 • 永年保有ポリシー • NTT Comの挑む新たな終活のカタチ ＝ OODA型 利用終了ドメイン名管理 • ただ休眠させておくのは実は危険：なりすまし対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

33. © NTT Communications Corporation All Rights Reserved. NCA Annual Conference

    2024 「能動的ドメイン名ライフサイクル管理のすゝめ」 33 ご清聴ありがとうございました