Upgrade to Pro — share decks privately, control downloads, hide ads and more …

利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ult...

利用終了したドメイン名の最強終活〜観測環境を育てて、分析・供養している件〜 / The Ultimate End-of-Life Preparation for Discontinued Domain Names

2025年2月17日の"Security-JAWS【第36回】 勉強会"で発表した「利用終了したドメイン名の最強終活
〜観測環境を育てて、分析・供養している件〜」の講演資料です。講演詳細についてはこちらを御覧ください(https://s-jaws.connpass.com/event/340397/

NTT Communications

February 19, 2025
Tweet

More Decks by NTT Communications

Other Decks in Technology

Transcript

  1. © NTT Communications Corporation All Rights Reserved. 利用終了したドメイン名の最強終活 〜観測環境を育てて、分析・供養している件〜 2025年2月17日

    NTTコミュニケーションズ株式会社 イノベーションセンター テクノロジー部門 NA4Sec 平木 康介
  2. © NTT Communications Corporation All Rights Reserved. 2 目次 1.はじめに

    2.観測環境 3.分析と供養 4.コスト 5.まとめと今後
  3. © NTT Communications Corporation All Rights Reserved. 4 自己紹介 平木

    康介(ひらき こうすけ) ◆ 所属 NTTコミュニケーションズ イノベーションセンター テクノロジー部門 Network Analytics for Security(NA4Sec(なよせ)) 攻撃インフラの解明・撲滅 ◆ 経歴 2008-2012 NTT東日本(フレッツ付加システム開発) 2013-今 NTTコミュニケーションズ(セキュリティ、システム開発) ◆ 趣味 ドライブ(最近行った富士山の写真→) VR(進撃の巨人VR) 2/10 河口湖ドライブ (富士山、雪が積もって綺麗) 気分を変えたい方はぜひ
  4. © NTT Communications Corporation All Rights Reserved. 「我々はインターネットを安心・安全にする社会的責務がある」を理念に インターネットの安心・安全に貢献するプロフェッショナル集団 攻撃インフラの解明・撲滅

    総合的な解析技術開発 高確度CTI創出 高度アナリスト人材輩出 Partnership ※CTI:Cyber Threat Intelligence(脅威インテリジェンス) インターネット全体の セキュリティ向上 NTT Comの ブランド力向上 CTI提供 セキュリティ事案 対応支援 大規模国際イベント セキュリティ案件支援 社内セキュリティ 高度化施策 専門人材によるアドホックな技術支援 and more... 社内システム 自社セキュリティ商材 Network Analytics for Security PJ
  5. © NTT Communications Corporation All Rights Reserved. 7 (※)ドロップキャッチとは ドメイン名が再登録可能になる瞬間を狙って、目的のドメイン名を取得する行為。

    一度も登録されたことのないドメイン名よりは、アクセス数が見込めて、価値があると見なされる場合がある。 なぜ利用終了したドメイン名を 観測分析するのか?(施策背景) ◆利用終了したドメイン名の終活のため ・使い終わったドメイン名を無邪気に手放すとドロップキャッチされるリスクがある(※) ・NTTグループでも過去にドロップキャッチ事例が発生 ドコモ口座(docomokouza.jp)がオークションに出品 https://www.watch.impress.co.jp/docs/series/suzukij/1534421.html → NTT Comでは2023年12月より利用終了した独自ドメイン名を永年保有 ・一方で、利用終了したドメイン名に、どのようなアクセスを受けているか分からなかった ・もしかするとアクセスが全くないかもしれない ・もしアクセスを受けていても、観測を元に減らせれば手放せるかもしれない(=供養) ・保有すればリスクヘッジできるが、ドメイン名維持コストもかかるので、 観測して適切に手放せると判断できるなら、手放した方が望ましいとも言える ・そして、観測分析を行う施策が始動
  6. © NTT Communications Corporation All Rights Reserved. 8 (参考) もっとドメイン名の終活を知りたい方へ

    (ドメイン名の終活の難しさが分かる資料) https://speakerdeck.com/mikit/domeinming-nozhong-huo-nituite-jpaawg-7th
  7. © NTT Communications Corporation All Rights Reserved. 11 主な要件と設計方針 要件

    ◆DNSクエリログ、Webアクセスログ、メールの収集 - ドメイン名の観測なのでDNSクエリログは必須 - より広く情報を取り、終活を促進すべくWebアクセスログ・メールも収集 設計方針 ◆AWSで観測し、NTT Comの全社データ基盤で分析保管を行う ・AWSは、使いやすい環境が整っていたため ・データ分析保管は、社内リソースを有効活用 ◆マネージドサービス・サーバレスを活用し、セキュアな環境とする ・運用者による管理の手間を減らしながらもセキュリティを担保
  8. © NTT Communications Corporation All Rights Reserved. 12 システム全体構成 残存通信

    残存リンク 探索通信 Webサーバ (Webアクセスログの収集) 観測 想定されるアクセス 分析保管 DNSサーバ (DNSクエリログの収集) NTT Comの 全社データ基盤 Amazon Route 53 Amazon CloudFront Amazon S3 AWS Amazon SES メール JSON化ファイルを 格納した ストレージ JSON化
  9. © NTT Communications Corporation All Rights Reserved. 構成図詳細(DNSクエリログ) 1. Amazon

    Route 53がDNSクエリを受ける 2. DNSクエリログがAmazon CloudWatch Logsに蓄積される (4.の処理の負荷分散のため、分散して蓄積) 3. ログは定期的(1日1回)に、Amazon EventBridgeのCreateExportAPIにより、 Amazon S3バケットにExportされる 4. Exportされたタイミングで、AWS Lambda関数が立ち上げられ、 JSON化される(AWS Lambdaの設定により、Amazon S3のファイル生成をトリガーに、 AWS Lambdaを立ち上げている) 5. 全社データ基盤がJSON化されたファイルを定期的(1日1回)に取得する >詳細は NTT Com ENGINEERS’ BLOG 参照 「利用終了したドメイン名の終活に向けて 〜観測環境を作った話〜」 https://engineers.ntt.com/entry/202412-enddomain-aws/entry
  10. © NTT Communications Corporation All Rights Reserved. 構成図詳細(Webアクセスログ、メール) ※以下はWebアクセスログの構成図。メールは同様のため割愛。 1.

    Amazon CloudFrontがWebアクセスを受ける 2. WebアクセスログがAmazon S3へ出力される (Amazon CloudFrontの設定により、ログをAmazon S3へ出力している) 3. Amazon S3にログが生成されると、AWS Lambda関数が立ち上げられJSON化される (AWS Lambdaの設定により、Amazon S3のファイル生成をトリガーに、 AWS Lambdaを立ち上げている) 4. 全社データ基盤がJSON化されたファイルを定期的に取得する(1日1回) >詳細は NTT Com ENGINEERS’ BLOG 参照 「利用終了したドメイン名の終活に向けて 〜観測環境を作った話〜」 https://engineers.ntt.com/entry/202412-enddomain-aws/entry
  11. © NTT Communications Corporation All Rights Reserved. 16 ケース1:定期的に同じURLにアクセスがあった件 ケース2:Referer分析で見つかった件

    ケース3:コーポレートドメインのメールを分析した件 (観測分析中のため経過報告)
  12. © NTT Communications Corporation All Rights Reserved. 17 ケース1:定期的に同じURLにアクセスがあった件 ケース2:Referer分析で見つかった件

    ケース3:コーポレートドメインのメールを分析した件 (観測分析中のため経過報告)
  13. © NTT Communications Corporation All Rights Reserved. 18 「忘れ去られた定期通信のリスク」 ◆

    システム侵害のリスク ・企業のシステムが定期的に www.example.com にアクセス ・サービスに伴い www.example.com も役目を終える ・仮に、ドメイン名の期限が切れ、悪意のある第三者にドロップキャッチされ 定期的な通信を止めるのを忘れていたら… >> 悪性ファイルや不正スクリプトが実行される可能性 https://www.example.com 送信元 (企業のシステムなど) 正規サイト(閉鎖) 悪性ファイル・スクリプト 定期的にアクセス ※例:システムによるAPIアクセス example.comが期限切れになり 第三者にドロップキャッチされる
  14. © NTT Communications Corporation All Rights Reserved. 19 分析の中で見つけた通信、そして供養 ◆

    www.example.com へ定期アクセスを行う特定の送信元(同一IP)を発見 ・逆引きすると、NTT Comのサービスが想起される文字列を発見 211-xxx-xxx-xxx-revip-example-default.xxx.xxx.211.in-addr.arpa. ◆ ほぼ1分ごとに、以下の3種類のパスにアクセス(名前からして監視通信) ・…/alertmanager/ ・ … /healthcheck ・ … /metrics ◆ 上記サービスの担当者にコンタクトし、通信が消えた ・供養!
  15. © NTT Communications Corporation All Rights Reserved. 20 教訓 ◆

    不要な通信は、担当者とコンタクトが取れるうちに消す(供養)すべし ・今回は利用終了したドメイン名を、ドメイン名管理部門へ移管した直後のため 担当者にコンタクトできた ・しかし、数年したらコンタクトが取れなかった可能性もある… ※そもそも本件は前提として、永年保有中のドメイン名なので、 ドロップキャッチのリスクヘッジができている状態
  16. © NTT Communications Corporation All Rights Reserved. 21 ケース1:定期的に同じURLにアクセスがあった件 ケース2:Referer分析で見つかった件

    ケース3:コーポレートドメインのメールを分析した件 (観測分析中のため経過報告)
  17. © NTT Communications Corporation All Rights Reserved. 22 「気づかない残存リンクの危険性」 https://example.jp

    Web サイト 正規サイト 悪性サイト ◆ 会社に不利益をもたらす可能性(信用を損なう、システム侵害のリスクなど) ・example.jp というドメイン名のWebページを運用していた ・しかし、Webページの運用が終了する ・仮に、ドメイン名の期限が切れ、悪意のある第三者にドロップキャッチされ Webの残存リンクを踏む一般ユーザがいたとしたら… >> フィッシングサイトなど意図しないサイトへ誘導される可能性
  18. © NTT Communications Corporation All Rights Reserved. 23 分析の中で見つけた通信、そして供養 ◆

    WebアクセスログのRefererのWikipediaに着目 ◆ Google Dorks(Googleのクエリオプションで調査する手法)を駆使して 残存リンクを発見 ◆ Wikipediaを編集し、削除 ・供養! < 検索オプション > site:<referer から確認したサイトのドメイン名> link:<利用終了ドメイン名> < 検索例 > site:wikipedia.org link:example.jp Referer = https://ja.m.wikipedia.org/ (※)パスが残っているケースもあるが、現在、多くのサイトはプライバシー保護のためにRefererにパスを入れない仕様になっているので、パスがわからなかった
  19. © NTT Communications Corporation All Rights Reserved. 24 教訓 ◆

    Webページとして使っていたドメイン名は”残存リンクがあって然るべき” ・今回は観測したことで見つけることができた ・Wikipediaであれば編集機能で削除をする、 そうでなければサイト管理者に連絡をして削除してもらうのが良いだろう ・ただし、長期間観測すると他にも残存リンクが見つかる可能性もあるため、 しばらく観測した方が良いと言える ※こちらも前提として、永年保有中のドメイン名なので、 ドロップキャッチのリスクヘッジができている状態
  20. © NTT Communications Corporation All Rights Reserved. 25 ケース1:定期的に同じURLにアクセスがあった件 ケース2:Referer分析で見つかった件

    ケース3:コーポレートドメインのメールを分析した件 (観測分析中のため経過報告)
  21. © NTT Communications Corporation All Rights Reserved. 26 「情報漏洩のリスク」 ◆

    会社に不利益をもたらす可能性(信用を損なう、経済的損失のリスクなど) ・犯罪者は機微情報を喉から手が出るほど欲しており あらゆる方法で窃取しようと試みる - 企業システムにサイバー攻撃を仕掛ける - フィッシングサイトを活用して不正なソフトウェアを仕掛ける etc. ・もし、機密情報のやり取りで使っているドメイン名を手放してしまったら… >> 情報漏洩のリスク 一般的な機密情報の一例 顧客情報: 氏名、住所、連絡先、クレジットカード情報 従業員情報: 氏名、住所、連絡先、給与情報、人事情報 営業情報: 顧客リスト、契約情報、販売戦略、新商品情報 技術情報: 製品設計図、開発計画、特許情報 財務情報: 決算情報、会計データ、予算情報
  22. © NTT Communications Corporation All Rights Reserved. 27 コーポレートドメインのメール分析 (経過報告)

    ◆ 利用終了して3年以上が経過しても「機密情報」を含むメールを受信しており、 簡単には手放せない(手放してしまうと漏洩のリスクがある) ◆ 永年保有しているため、インシデントを未然に防げた事例ではある 分類 内訳 広告 広告 脅威情報 脆弱性情報 製品アラート 脆弱性管理システム 故障連絡 回線故障 故障切り分け 運用 運用情報 その他 テスト 年初挨拶 フィッシング お知らせ 契約情報 など ※赤字は機密情報(お客様情報、システム情報などを含む) 分析対象期間 ・期間:2025年1月1日〜1月22日 ・受信メール数:4912通(1日平均223通)※2021年に運用を終えているにも関わらず
  23. © NTT Communications Corporation All Rights Reserved. 29 AWS利用料金 ◆

    観測に莫大なコストがかかるわけではない(月2万円未満) ◆ Amazon Route 53が全体の50%以上を占めている ※うち、DNS Zone(ドメイン名の維持)が60〜80%(残りはDNS Query) ◆ Amazon CloudFrontは「オリジンのS3にコンテンツを置かない」ことで 月100〜200円とコストを抑えています 6月 7月 8月 9月 10月 11月 12月 1月 2月 3ドメイン ⇨ 24ドメイン 24ドメイン ⇨ 55ドメイン 55ドメイン ⇨ 143ドメイン (月別のAWS利用料金の推移) 6月 7月 8月 9月 10月 11月 12月 1月 2月 AWS WAF AWS Lambda Amazon Route 53 Amazon S3 Amazon CloudFront Amazon CloudWatch AWS KMS その他 Amazon Route 53 (AWSサービス別の月別利用料金の推移) 55ドメイン ⇨ 143ドメイン 24ドメイン ⇨ 55ドメイン 3ドメイン ⇨ 24ドメイン 不要リソースの削 除(AWS WAF) アルコリズム大幅 改良(AWS Lambda)
  24. © NTT Communications Corporation All Rights Reserved. 31 まとめと今後 ◆

    まとめ ・利用終了ドメイン名へのアクセスを、AWSで観測し、分析供養を進めた件を紹介 ケース1)残存する監視通信を発見、停止(供養!) ・手放した場合のリスク:システム侵害のリスク ・教訓:担当者とコンタクトできるうちに通信を消すべし ケース2)Wikipediaの残存リンクを発見、削除(供養!) ・手放した場合のリスク:会社の信用を損なう、システム侵害のリスク ・教訓:Webサイトのドメイン名は残存リンクの可能性があるので手放し注意 ケース3)コーポレートドメインのメール分析(観測分析中のため経過報告) ・手放した場合のリスク:会社の信用を損なう、経済的損失のリスク ※今も機密情報を含むメールを受信しており、すぐには手放せない
  25. © NTT Communications Corporation All Rights Reserved. 32 まとめと今後 ◆

    今後やりたいこと ・終活を促進すべく - 観測範囲の拡大:ドメイン名を増やす、データの種類を増やす - 供養の自動化:ステータスコード410 Goneを返せば自動で供養が進む可能性の検証 (CloudFrontが410非対応のようなので、対応してくれると嬉しい…) ◆ 最後に ・興味があればご連絡ください! NA4Secチームメーリングリスト [email protected]
  26. © NTT Communications Corporation All Rights Reserved. 33 (参考)ステータスコード 410

    Gone https://www.rfc-editor.org/rfc/rfc7231.txt 6.5.9. 410 Gone 〜前略〜 The 410 response is primarily intended to assist the task of web maintenance by notifying the recipient that the resource is intentionally unavailable and that the server owners desire that remote links to that resource be removed. 〜後略〜 410 (Gone) レスポンスは、主にウェブメンテナンスの作業を支援することを目的 としています。リソースが意図的に利用できなくなり、サーバーの所有者がそのリ ソースへのリモートリンクを削除することを望んでいることを受信者に通知します。 ◆ステータスコード410 Gone ・「サーバーの所有者がそのリソースへのリモートリンクを 削除することを望んでいることを受信者に通知」するためのステータスコード ・これを使えば、ステータスコード受信者が、 ブラウザのブックマークを消したり、定期通信を削除してくれることが期待される (参考)6.5.4. 404 Not Found The 404 (Not Found) status code indicates that the origin server did not find a current representation for the target resource or is not willing to disclose that one exists. A 404 status code does not indicate whether this lack of representation is temporary or permanent; the 410 (Gone) status code is preferred over 404 if the origin server knows, presumably through some configurable means, that the condition is likely to be permanent. 〜後略〜 ステータスコードは、オリジンサーバーがターゲットリソースの現在の表現を見つけら れなかったか、存在することを開示したくないことを示します。404ステータスコード は、この表現の欠如が一時的なものか永続的なものかを示すものではありません。オリ ジンサーバーが、おそらく何らかの設定可能な手段によって、状態が永続的である可能 性が高いことを知っている場合は、410 (Gone) ステータスコードが404よりも推奨されます。