『君の名は』と聞く君の名は。 / Your name, you who asks for mine.

by NTT docomo Business

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 4 使い終わったドメイン名にまつわるトラブル企業のサービスなどで使われていたドメイン名には価値があり、第三者に悪用されると会社・組織のブランド価値を棄損するリスクがある【注意喚起】セキュリティリスク回避のため、旧Visionalistをご利用いただいていた法人のお客さまにおける“tracer.jp”タグ削除のお願いドロップキャッチなぜ「ドコモ口座」のドメインがオークションに？ドコモの見解は（山口健太） - エキスパート - Yahoo!ニュースドメインオークション

Slide 5

Slide 5 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 5 NTTドコモビジネスの対策：ネットワーク資源の一元管理 ComNICとは社内のAS番号、IPアドレス、ドメイン名などネットワーク資源を一元管理する組織。以下三つの役割を持つ。 - 管理ポリシー・運用ガイドライン等の策定および社内浸透 - 運用体制・運用フローの整備および運用 - 保有資源ごとの利用状況・利用者情報の一元管理と最新化 ComNIC設立以前各組織で管理していたため、情報を一元的に見る手段がない =インシデントが起こった際に被害範囲を特定するのにすごく時間がかかる我々は1.1.1.0/24を管理しています！我々はexample.ntt.com を管理しています！・・・・・・ ComNIC設立後・・・・・・・・・・ ComNICが情報を一元管理する主体に誰が (どの組織が) 管理しているかわかる状態に ComNIC 管理

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Slide 10

Slide 10 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 10 OODA型利用終了ドメイン名管理 Orient （状況判断） Decide （意思決定） Act （行動） Observe （観察）ドメイン名の（リスク）状況を判断アクションの実行 OODA ループリスク低減策の検討 ※ DNSクエリ、Webアクセス、メールドメイン名に対するアクセス※ を観測

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Slide 13

Slide 13 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 13 観測開始半年で見えたもの • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

Slide 14

Slide 14 text

Slide 15

Slide 15 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 15 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 → DMARCレポート分析による詐称メールの実態把握 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

Slide 16

Slide 16 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 16 詐称メールの送信元・送信先 • 詐称メール総数 (2025/06 ~ 10) : 2083 件 • 詐称メールの送信元の半数以上が中国 • 詐称メールの宛先の半数以上がドコモ CN 62% US 11% BR 9% JP 3% SG 1% BD 1% その他 13% 詐称メール送信元国 docomo 60% gmail 28% KDDI 9% GMO 1% Yahoo 1% その他 1% 詐称メール送信先サービス

Slide 17

Slide 17 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 17 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク → 利用終了ドメインに紐づくメールの利用実態調査

Slide 18

Slide 18 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 18 元コーポレートドメイン名へのメール広告 73% 業務メール 22% その他 5% 広告 48% その他 1% aaa.example 合計 : 109,694件/9ヶ月 bbb.example 合計 : 1,507件/3ヶ月 ■広告・広告・宣伝目的のメール ■システム通知・業務で使用していたシステムからの通知 ■業務メール・社内外の人物・部署からの業務メール ■その他・フィッシング・スパムメールなど利用終了から4年以上経過してもいまだに顧客情報・業務情報を含むメールを受信システム通知 50% 業務メール 0.05%

Slide 19

Slide 19 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 19 さらなる深掘り • ただ休眠させておくのは実は危険：なりすましメール対策DNSレコードによる自衛 • 後片付けは完璧とは限らない：削除漏れの検出・対処 • アクセス流入経路は遡って断てる：Referer + Google Dorkによる被リンクページ特定 → さらなるアクセス元調査（本日のメイン） • コーポレートドメイン名には気をつけろ：コーポレートドメイン名のドロップキャッチリスク

Slide 20

Slide 20 text

Slide 21

Slide 21 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 21 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析（両ログに含まれるedns-client-subnetは、DNS名前解決をした上でWebアクセスしている可能性があるため）

Slide 22

Slide 22 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 22 edns-client-subnetとは • RFC 7871 で定義 • DNS問い合わせにクライアントのIPサブネット情報を付加し、権威DNSサーバがユーザの地理的・ネットワーク的な位置をより正確に把握できるようにする仕組み • DNSリゾルバの裏に存在する、実際に名前解決しようとしたクライアントのサブネット。クライアントキャッシュDNS 権威DNS

Slide 23

Slide 23 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 23 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析（両ログに含まれるedns-client-subnet※は、DNS名前解決をした上でWebアクセスしている可能性があるため）

Slide 24

Slide 24 text

Slide 25

Slide 25 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 25 DNSクエリログ分析 • resolver-ipのASの内訳を見るとトップ３のGoogle、Cisco、Akamaiが全体の9割以上を占めている。 • GoogleはDNSサーバとして8.8.8.8が指定されることが多い。 • 以後、Google、Cisco、Akamai、その他、の４分類ごとに深堀する。 Google Cisco Akamai その他

Slide 26

Slide 26 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 26 resolver-ipのAS ASN別集計 • resolver-ipのAS別に、edns-client-subnetのASN別のDNSクエリ件数を集計。 • Google、Ciscoは自社（Google,Cisco）以外からの問い合わせが多い。 • 個人拠点からのアクセスが多いためキャッシュDNSがまちまちな可能性がある。 Google Cisco

Slide 27

Slide 27 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 27 resolver-ipのAS ASN別集計 • resolver-ipのAS別に、edns-client-subnetのASN別のDNSクエリ件数を集計。 • Akamaiは自社（Akamai）からの問い合わせが多い。 • resolver-ipのASからアクセス元の正体はわからないため edns-client-subnetのASに着目する。 Akamai その他

Slide 28

Slide 28 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 28 分析概要 1.DNSクエリログのうち、edns-client-subnetが含まれるものについて分析 2.Webアクセスログ、およびDNSクエリログを突合して分析 o 両ログに含まれるedns-client-subnetについて分析（両ログに含まれるedns-client-subnetは、DNS名前解決をした上でWebアクセスしている可能性があるため）

Slide 29

Slide 29 text

Slide 30

Slide 30 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 30 タイムスタンプの差24時間以内のものを深堀調査 • DNSクエリログとWebアクセスログのタイムスタンプの差が小さいedns-client-subnet は、DNS名前問い合わせをした上でWebアクセスしている可能性がある。 • つまり、利用終了したドメイン名に対して、DNS名前問い合わせをするクライアントの一部である可能性がある。 • DNSキャッシュ期間を考慮し、タイムスタンプの差が24時間以内※のものに絞って分析すると内訳は次スライドの通り • ※一般的にDNSのTTLの最大値は24時間のため DNS クエリログ Web アクセスログタイムスタンプの差が２４時間以内

Slide 31

Slide 31 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 31 2つのログの突合結果分析（24時間） • 112リクエスト中、90リクエストがWebアクセスログのパスに正規ユーザがアクセスしない、スキャンまたは攻撃と思われるリクエストだった。そのリクエストの種類を分析した。 • 既知の脆弱性が多いWordPress関連、Apache関連が過半数を占めている。

Slide 32

Slide 32 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 32 攻撃と思われるリクエスト例ログインを試みている • 前スライドに示したタイムスタンプの差が24時間以内のリクエストのうち特定の脆弱性を狙ったと思われるリクエストが含まれていた。その一部を示す。 • 古い脆弱性が依然として狙われていることがわかる。 • Shellshock (CVE-2014-6271など) • Weblogic wls-wsat Component Deserialization Vulnerability (CVE-2017-10271) パスワードファイル /etc/passwdの内容の表示を試みている

Slide 33

Slide 33 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 33 攻撃と思われるリクエスト例 • MobileIron RCE (CVE-2020-15505) • Command Injection and Backdoor Account in D-Link NAS Devices（CVE-2024-3272）管理者権限でログインを試みている管理画面へのログインを試みている

Slide 34

Slide 34 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 34 ジレンマ：観察者効果観察者効果 … 観察という行為自体が、観察される対象に影響を与えて状態を変化させてしまうこと使い終わったドメイン名に対するアクセスを観測しようとする行為自体がアクセスを誘発してしまう • DNSレコードを返すからサブドメイン探索が来る • HTTP応答があるからWeb脆弱性探索が来るシンクホール的なDNSクエリ観測だけではアクセスの目的・意図を理解し、適切に対処することは困難ジレンマ

Slide 35

Slide 35 text

Slide 36

Slide 36 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 36 DNSクエリログ分析 • DNSクエリログのうち、edns-client-subnetが含まれるものについて、日毎のリクエスト数の遷移は下記の通り。 • 利用終了したドメイン名にもかかわらず月日が経過してもリクエスト数は減少しない。 • つまり、リクエスト数の減少を「手放す基準」とするのは難しい。

Slide 37

Slide 37 text

© NTT DOCOMO BUSINESS, Inc. All Rights Reserved. NCA Annual Conference 2025 / 『君の名は』と聞く君の名は。 37 まとめ「君の名」を追う過程で分かったこと: • DNSクエリログの一部の送信元のアクセス意図は攻撃やスキャンである。 • DNSクエリログ単体では、アクセス意図を推測しづらいが、DNSクエリログとWebアクセスログを突合することで、判明した。 • 利用終了ドメイン名に限らず、現用中のドメイン名に対してもスキャン、攻撃リクエストが来る（既に来ている）可能性は十分考えられる。 • サイバーハイジーンを徹底する。 • 利用終了ドメイン名に対するリクエスト数は月日が経っても減少しないのでリクエスト数の減少を「手放す基準」とするのは難しそう。