『君の名は』と聞く君の名は。 / Your name, you who asks for mine.

Transcript

1. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 『君の名は』と聞く君の名は。 2025年12月18日 NTTドコモビジネス株式会社

2. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 2 いきなりですが

3. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 3 ドメイン名の「終活」 していますか？

4. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 4 使い終わったドメイン名にまつわるトラブル 企業のサービスなどで使われていたドメイン名には価値があり、 第三者に悪用されると会社・組織のブランド価値を棄損するリスクがある 【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用いただいていた 法人のお客さまにおける“tracer.jp”タグ削除のお願い ドロップキャッチ なぜ「ドコモ口座」のドメインがオークションに？ ドコモの 見解は（山口健太） - エキスパート - Yahoo!ニュース ドメインオークション

5. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 5 NTTドコモビジネスの対策： ネットワーク資源の一元管理 ComNICとは 社内のAS番号、IPアドレス、ドメイン名などネットワーク資源を一元管理する組織。以下三つの役割を持つ。 - 管理ポリシー・運用ガイドライン等の策定および社内浸透 - 運用体制・運用フローの整備および運用 - 保有資源ごとの利用状況・利用者情報の一元管理と最新化 ComNIC設立以前 各組織で管理していたため、情報を一元的に見る手段がない =インシデントが起こった際に被害範囲を特定するのにすごく 時間がかかる 我々は1.1.1.0/24を 管理しています！ 我々はexample.ntt.com を管理しています！ ・・ ・・ ・・ ComNIC設立後 ・・ ・・ ・・ ・・ ・・ ComNICが情報を一元管理する主体に 誰が (どの組織が) 管理しているかわかる状態に ComNIC 管理

6. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 6 NTTドコモビジネスのドロップキャッチ対策 ①独自ドメインではなく、ntt.comサブドメインの利用促進 ②退職者/異動者の定期的な確認（管理者情報の最新化） ③永年保有ポリシーの策定

7. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 7 ドメイン名永年保有の課題 • ドメイン名の維持料が毎年かかる • 管理対象ドメイン名が増える方向にしかいかない いつか来たるXデーを座して待つのではなく、 今のうちから安全にドメイン名を手放す方法の模索を

8. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 8 CSIRT × セキュリティ研究者

9. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

   Conference 2025 / 『君の名は』と聞く君の名は。 9 NTTドコモビジネスの挑む“新たな終活のカタチ” 〜OODA型 利用終了ドメイン名管理〜

10. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 10 OODA型 利用終了ドメイン名管理 Orient （状況判断） Decide （意思決定） Act （行動） Observe （観察） ドメイン名の （リスク）状況を判断 アクションの実行 OODA ループ リスク低減策の検討 ※ DNSクエリ、Webアクセス、メール ドメイン名に対する アクセス※ を観測

11. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 11 観測環境 名前解決 Webアクセス メール受信 未利用ドメイン名への各種アクセスを観測・分析 DNSクエリログ Webアクセスログ 受信メール・DMARCレポート

12. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 12 https://speakerdeck.com/nttcom/practice-on-active-domain-name-lifecycle-management

13. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 13 観測開始半年で見えたもの • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

14. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 14 あれから1年…

15. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 15 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 → DMARCレポート分析による詐称メールの実態把握 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

16. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 16 詐称メールの送信元・送信先 • 詐称メール総数 (2025/06 ~ 10) : 2083 件 • 詐称メールの送信元の半数以上が中国 • 詐称メールの宛先の半数以上がドコモ CN 62% US 11% BR 9% JP 3% SG 1% BD 1% その他 13% 詐称メール送信元 国 docomo 60% gmail 28% KDDI 9% GMO 1% Yahoo 1% その他 1% 詐称メール送信先サービス

17. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 17 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク → 利用終了ドメインに紐づくメールの利用実態調査

18. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 18 元コーポレートドメイン名へのメール 広告 73% 業務メール 22% その他 5% 広告 48% その他 1% aaa.example 合計 : 109,694件/9ヶ月 bbb.example 合計 : 1,507件/3ヶ月 ▪広告 ・広告・宣伝目的のメール ▪システム通知 ・業務で使用していたシステムからの通知 ▪業務メール ・社内外の人物・部署からの業務メール ▪その他 ・フィッシング・スパムメールなど 利用終了から4年以上経過してもいまだに顧客情報・業務情報を含むメールを受信 システム通知 50% 業務メール 0.05%

19. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 19 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 → さらなるアクセス元調査（本日のメイン） • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

20. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 20 『君の名は』と聞く君の名は。

21. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 21 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析 （両ログに含まれるedns-client-subnetは、DNS名前解決をした上でWebアクセスしている可能性が あるため）

22. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 22 edns-client-subnetとは • RFC 7871 で定義 • DNS問い合わせにクライアントのIPサブネット情報を付加し、権威DNSサーバがユーザ の地理的・ネットワーク的な位置をより正確に把握できるようにする仕組み • DNSリゾルバの裏に存在する、実際に名前解決しようとしたクライアントのサブネット。 クライアント キャッシュDNS 権威DNS

23. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 23 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析 （両ログに含まれるedns-client-subnet※は、DNS名前解決をした上でWebアクセスしている可能性 があるため）

24. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 24 観測環境（再掲） 名前解決 Webアクセス メール受信 未利用ドメイン名への各種アクセスを観測・分析 DNSクエリログ Webアクセスログ 受信メール・DMARCレポート キャッシュDNSの裏にいる クライアントを調査

25. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 25 DNSクエリログ分析 • resolver-ipのASの内訳を見るとトップ３のGoogle、Cisco、Akamaiが全体の9割以上を占めている。 • GoogleはDNSサーバとして8.8.8.8が指定されることが多い。 • 以後、Google、Cisco、Akamai、その他、の４分類ごとに深堀する。 Google Cisco Akamai その他

26. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 26 resolver-ipのAS ASN別 集計 • resolver-ipのAS別に、edns-client-subnetのASN別のDNSクエリ件数を集計。 • Google、Ciscoは自社（Google,Cisco）以外からの問い合わせが多い。 • 個人拠点からのアクセスが多いためキャッシュDNSがまちまちな可能性がある。 Google Cisco

27. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 27 resolver-ipのAS ASN別 集計 • resolver-ipのAS別に、edns-client-subnetのASN別のDNSクエリ件数を集計。 • Akamaiは自社（Akamai）からの問い合わせが多い。 • resolver-ipのASからアクセス元の正体はわからないため edns-client-subnetのASに着目する。 Akamai その他

28. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 28 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析 （両ログに含まれるedns-client-subnetは、DNS名前解決をした上でWebアクセスしている可能性が あるため）

29. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 29 観測環境（再掲） 名前解決 Webアクセス メール受信 未利用ドメイン名への各種アクセスを観測・分析 DNSクエリログ Webアクセスログ 受信メール・DMARCレポート 2種類のログを突合し、 アクセス元を深掘り

30. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 30 タイムスタンプの差24時間以内のもの を深堀調査 • DNSクエリログとWebアクセスログのタイムスタンプの差が小さいedns-client-subnet は、DNS名前問い合わせをした上でWebアクセスしている可能性がある。 • つまり、利用終了したドメイン名に対して、DNS名前問い合わせをするクライアントの 一部である可能性がある。 • DNSキャッシュ期間を考慮し、タイムスタンプの差が24時間以内※のものに絞って分析 すると内訳は次スライドの通り • ※一般的にDNSのTTLの最大値は24時間のため DNS クエリ ログ Web アクセス ログ タイム スタンプの 差が ２４時間以内

31. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 31 2つのログの突合結果分析（24時間） • 112リクエスト中、90リクエストがWebアクセスログのパスに正規ユーザがアクセスしな い、スキャンまたは攻撃と思われるリクエストだった。そのリクエストの種類を分析した。 • 既知の脆弱性が多いWordPress関連、Apache関連が過半数を占めている。

32. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 32 攻撃と思われるリクエスト例 ログインを試みている • 前スライドに示したタイムスタンプの差が24時間以内のリクエストのうち特定の脆弱性を狙ったと思われ るリクエストが含まれていた。その一部を示す。 • 古い脆弱性が依然として狙われていることがわかる。 • Shellshock (CVE-2014-6271など) • Weblogic wls-wsat Component Deserialization Vulnerability (CVE-2017-10271) パスワードファイル /etc/passwdの内容の表示を 試みている

33. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 33 攻撃と思われるリクエスト例 • MobileIron RCE (CVE-2020-15505) • Command Injection and Backdoor Account in D-Link NAS Devices（CVE-2024-3272） 管理者権限でログイン を試みている 管理画面への ログインを試みている

34. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 34 ジレンマ：観察者効果 観察者効果 … 観察という行為自体が、観察される対象に影響を与えて状態を変化させてしまうこと 使い終わったドメイン名に対するアクセスを観測しようとする行為自体がアクセスを誘発してしまう • DNSレコードを返すからサブドメイン探索が来る • HTTP応答があるからWeb脆弱性探索が来る シンクホール的なDNSクエリ観測だけではアクセスの目的・意図を理解し、適切に対処することは困難 ジレンマ

35. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 35 2つのログの突合結果 • タイムスタンプの差24時間以内に限定すると攻撃やスキャンが大半を占めていた。 • DNSクエリログの日毎のリクスト数の変化を調べてみる。

36. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 36 DNSクエリログ分析 • DNSクエリログのうち、edns-client-subnetが含まれるものについて、日毎のリクエスト数の遷移は下記の通り。 • 利用終了したドメイン名にもかかわらず月日が経過してもリクエスト数は減少しない。 • つまり、リクエスト数の減少を「手放す基準」とするのは難しい。

37. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 37 まとめ 「君の名」を追う過程で分かったこと: • DNSクエリログの一部の送信元のアクセス意図は攻撃やスキャンである。 • DNSクエリログ単体では、アクセス意図を推測しづらいが、DNSクエリログとWebアクセスログを突合 することで、判明した。 • 利用終了ドメイン名に限らず、現用中のドメイン名に対してもスキャン、攻撃リクエストが来る（既に来 ている）可能性は十分考えられる。 • サイバーハイジーンを徹底する。 • 利用終了ドメイン名に対するリクエスト数は月日が経っても減少しないのでリクエスト数の減少を「手放 す基準」とするのは難しそう。

38. © NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual

    Conference 2025 / 『君の名は』と聞く君の名は。 38 Thank you！