Slide 1

Slide 1 text

ドロップキャッチと デジタルアーカイブ問題 第19回セキュリティ共有勉強会@マネーフォワード 2018/11/02 hiro(@ctrl_z3r0) a.k.a ねこさん⚡(@catnap707)

Slide 2

Slide 2 text

アジェンダ 1 ドメイン名とは? 2 ドロップキャッチに気をつけろ! 3 VirusTotalやWayBackMachineを使ったドメインの調査 4 デジタルアーカイブ問題 5 どうすればいいのか? 6 まとめ 2 ■参考情報 ・ドロップキャッチとは(2007/12/17)  https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害~高い信頼性標的(2016/11/15)  https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html ・NHK関連サイトのドメイン、ネットに出品 悪用の恐れ(2018/10/15)  https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html ・内閣府のサイトから風俗体験記にリンク 削除忘れドメイン失効→第三者が再取得  http://www.itmedia.co.jp/news/articles/1805/09/news089.html ・「元気な羽島応援寄附金(ふるさと納税)」掲載サイトの閉鎖について(2018/06/08)  http://www.city.hashima.lg.jp/0000010441.html ・なぜ !? 沖縄平和学習デジタルアーカイブが5年で運営停止 !?(2018/07/28)  http://battle-of-okinawa.hatenablog.com/entry/2018/07/28/200540 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題(2018/10/05)  https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/ ・ドメイン管理ガイドの整備(2016/12/01)  https://cio.go.jp/node/2323

Slide 3

Slide 3 text

3 ドメイン名とは? ■「ドメイン名」はインターネット上の住所 ・ドメイン名ってなに? - JPRS  https://jprs.jp/related-info/about/address/ ・ドメイン名のしくみ  https://www.nic.ad.jp/ja/dom/system.html  ドメイン名は「インターネット上の住所表示」に例えられます。ドメイン 名は、ホームページアドレス(URL)やメールアドレスの一部として使わ れます。

Slide 4

Slide 4 text

4 「レジストリ」と「レジストラ」と「レジストラント」 ・レジストリ(Registry)  ⇒登録ドメイン名のデータベースを維持管理する機関   存在するトップレベルドメイン(.jp、.com、.org…)の数ある。   ※.jpのレジストリは、JPRSです。 ・レジストラ(Registrar)  ⇒登録者からドメイン名の登録申請を受け付け、その登録   データをレジストリのデータベースに登録する事業者   ※お名前ドットコム、バリュードメイン、GoDaddyなどが有名。 ・レジストラント(Registrant)  ⇒ドメイン名の登録者(所有者)をレジストラントといいます。   ※Whois情報から攻撃者の情報が得られる場合もあります。     代理公開の場合はレジストラ名となるため分かりません。 ・レジストリ/レジストラとは - JPNIC  https://www.nic.ad.jp/ja/basics/terms/registry-registrar.html ・ドメイン用語集 - ゴンベエドメイン  https://www.gonbei.jp/guide/vocabulary.html

Slide 5

Slide 5 text

5 ドロップキャッチに気をつけろ!(1/3) ■ドロップキャッチとは? ・ドロップキャッチとは(2007/12/17)  https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害~高い信頼性標的(2016/11/15)  https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html  ドメイン名の有効期限が切れたタイミング(更新を忘れた又は手 放すなど)を狙い、再登録可能になった瞬間に元の登録者ではな い第三者が当該ドメインを登録する行為。 【読売新聞】 新居浜市観光サイトが3月末まで使っていた「niihamakanko.com」 を4月に「www.city.niihama.lg.jp/kanko/」に移行した後、旧ドメイン の使用の権利を手放したため、外国人名の人物が取得。登録さ れたIPアドレスからサーバーはカナダにあるとみられる。 ■愛媛県新居浜市の観光サイトの事案(2016/11/15)

Slide 6

Slide 6 text

6 ドロップキャッチに気をつけろ!(2/3) ■人気ドメインはオークションに! ・NHK関連サイトのドメイン、ネットに出品 悪用の恐れ(2018/10/15)  https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html

Slide 7

Slide 7 text

7 報道のあったドロップキャッチ事案 組織名 報道日付 ドメイン名 元サイト 現在の状態 愛媛県新居浜市 2016.11.15 niihamakanko.com 観光サイト オークション中 内閣府 2017.12.22 cyber3conf-okinawa2015.jp Cyber3 Conference Okinawa 2015 アダルトサイト 内閣府 2018.05.09 sip-cao.jp SIP ※ 風俗サイト 岐阜県羽島市 2018.06.08 arigato-hashima.com ふるさと納税サイト アダルトサイト 地方公共団体 情報システム機構 2018.07.21 lascdec.or.jp 地方自治情報センター (2014年4月からJ-LIS) 一時凍結 NHKエンタープライズ 2018.10.15 nhk-grp.jp NHKグループ オークション中 さいたま市 2018.10.31 world-bonsai-saitama.jp 世界盆栽大会 in さいたま アダルトサイト ※戦略的イノベーション創造プログラム ■ドロップキャッチされると何がダメなのか ・利用者は、以前の信頼されたサイトだと思ってアクセスしてくる ・フィッシングサイトに悪用されたり、マルウェア感染狙いも

Slide 8

Slide 8 text

8 ご参考: 組織合併時等における属性型・地域型JPドメイン名の 1組織1ドメイン名制限緩和(2014年4月17日) 「組織名変更」「合併」「事業譲渡」が2014年2月17日以降 に発生し、その事実が客観的かつ公に確認可能である 場合には、1組織にて2つ以上の属性型・地域型JPドメイ ン名の登録を可能としました。 ・「属性型(組織種別型)・地域型JPドメイン名登録等に関する規則」の改訂について(改訂主旨)(更新)  https://jprs.jp/whatsnew/notice/2014/20140217-rule.html

Slide 9

Slide 9 text

9 VirusTotalを使ったドメインの調査 ■VirusTotalで niihamakanko.com ドメインを調査 公式サイトによる 運用 ドロップキャッチ されたドメインに よる運用? ・VirusTotal  https://virustotal.com

Slide 10

Slide 10 text

10 Censysを使ったIPアドレスの調査 ■IPアドレスをホストしている場所を調査 ・Censys  https://censys.io 読売新聞の記事で カナダとあるのは、 ここから…

Slide 11

Slide 11 text

11 RiskIQによる詳細調査(1/3) ■RiskIQでIPアドレスの変遷を確認 ・RiskIQ Community Edition  https://community.riskiq.com/login RiskIQでは、VTより 細かくIPの記録が 残っている。 カジノサイトとして運営 されたのは、21日間だ けだった。

Slide 12

Slide 12 text

12 RiskIQによる詳細調査(2/3) ■RiskIQでWhoisの変遷を確認 VTでは見れないWhois の履歴が、RiskIQでは 確認できる。 読売新聞の記事で 外国人が登録とあ るのは、ここから 住所は、 東京都千代田区 一番町21番地

Slide 13

Slide 13 text

13 RiskIQによる詳細調査(3/3) ■RiskIQでWhoisの変遷を確認 カジノサイトが運営 していたIPは、 192.64.147.141 読売が記事を書い た時点のIPは、 104.152.168.34 カナダ  じゃなくて アメリカ  だった! 読売の記事は間違い!

Slide 14

Slide 14 text

14 WaybackMachineを使ったサイトの調査(1/2) ■2016年3月当時のアーカイブを確認 Internet Archive: Wayback Machine https://archive.org/web/   巡回で収集された 時点のコンテンツ が閲覧できる。

Slide 15

Slide 15 text

15 WaybackMachineを使ったサイトの調査(2/2) ■2016年11月当時のアーカイブを確認 まるで、新居浜市観光課が カジノサイトと提携したかの ような書きぶり!

Slide 16

Slide 16 text

16 デジタルアーカイブ問題(1/4) ■Webコンテンツは取っておく意志がないと残らない? WayBackMachineには、1996/10/23のYahoo.com のアーカイブが保存されている。(22年前!)

Slide 17

Slide 17 text

17 デジタルアーカイブ問題(2/4) ■大手無料ホームページサイトの閉鎖(2018/10/01) ・Yahoo!ジオシティーズサービス終了のお知らせ  https://info-geocities.yahoo.co.jp/p/close/ 2019年3月末 閉鎖

Slide 18

Slide 18 text

18 デジタルアーカイブ問題(3/4) ■予算の問題でコンテンツが捨てられる事案が発生 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題(2018/10/05)  https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/

Slide 19

Slide 19 text

19 デジタルアーカイブ問題(3/3) ■動的コンテンツの場合はうまくアーカイブされない問題 東京大学の 渡邉教授から ツイート 動的コンテンツ が再生されない

Slide 20

Slide 20 text

20 どうすりゃいいの? ■ドメインの管理 ・Web サイト等の整備及び廃止に係るドメイン管理ガイドライン (平成30年3月30日)  https://cio.go.jp/sites/default/files/uploads/documents/domain_guideline.pdf 公共性が高いコンテンツは悪用されやすいの で、特にご注意を! 1年以上前から 移行を告知 旧ドメインは 一定期間保持 するしかない

Slide 21

Slide 21 text

21 まとめ ◆ドメインを廃止する場合、影響範囲(知名度、被リ  ンク)を確認の上、事前に周知するなどの準備を。 ◆しばらく旧ドメインを保有しておくことも検討。 (ドロップキャッチされ風評被害となる可能性) ◆廃止ドメインの更新費用も盛り込んでおきましょ  う。(年間数千円をケチるな!) ◆汎用ドメインを持つならずっと持ち続ける覚悟を! ◆VirusTotal、WayBackMachine、RiskIQなどの  OSINTツールで調査すると面白いぞ!

Slide 22

Slide 22 text

ご清聴ありがとうございました。 22 次回予告 『DoS/DDoS攻撃』