dropcatch_digital-archives-20181102.pdf

Transcript

1. ドロップキャッチと デジタルアーカイブ問題 第19回セキュリティ共有勉強会@マネーフォワード 2018/11/02 hiro（@ctrl_z3r0） a.k.a ねこさん⚡（@catnap707）

2. アジェンダ １　ドメイン名とは？ ２　ドロップキャッチに気をつけろ！ ３　VirusTotalやWayBackMachineを使ったドメインの調査 ４　デジタルアーカイブ問題 ５　どうすればいいのか？ ６　まとめ 2 ▪参考情報 ・ドロップキャッチとは（2007/12/17）

   　https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害～高い信頼性標的（2016/11/15） 　https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html ・ＮＨＫ関連サイトのドメイン、ネットに出品　悪用の恐れ（2018/10/15） 　https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html ・内閣府のサイトから風俗体験記にリンク　削除忘れドメイン失効→第三者が再取得 　http://www.itmedia.co.jp/news/articles/1805/09/news089.html ・「元気な羽島応援寄附金（ふるさと納税）」掲載サイトの閉鎖について（2018/06/08） 　http://www.city.hashima.lg.jp/0000010441.html ・なぜ !?　沖縄平和学習デジタルアーカイブが５年で運営停止 !?（2018/07/28） 　http://battle-of-okinawa.hatenablog.com/entry/2018/07/28/200540 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題（2018/10/05） 　https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/ ・ドメイン管理ガイドの整備（2016/12/01） 　https://cio.go.jp/node/2323

3. 3 ドメイン名とは？ ▪「ドメイン名」はインターネット上の住所 ・ドメイン名ってなに？ - JPRS 　https://jprs.jp/related-info/about/address/ ・ドメイン名のしくみ 　https://www.nic.ad.jp/ja/dom/system.html 　ドメイン名は「インターネット上の住所表示」に例えられます。ドメイン

   名は、ホームページアドレス（URL）やメールアドレスの一部として使わ れます。

4. 4 「レジストリ」と「レジストラ」と「レジストラント」 ・レジストリ（Registry） 　⇒登録ドメイン名のデータベースを維持管理する機関 　　存在するトップレベルドメイン（.jp、.com、.org…）の数ある。 　　※.jpのレジストリは、JPRSです。 ・レジストラ（Registrar） 　⇒登録者からドメイン名の登録申請を受け付け、その登録 　　データをレジストリのデータベースに登録する事業者 　　※お名前ドットコム、バリュードメイン、GoDaddyなどが有名。

   ・レジストラント（Registrant） 　⇒ドメイン名の登録者（所有者）をレジストラントといいます。 　　※Whois情報から攻撃者の情報が得られる場合もあります。 　　　　代理公開の場合はレジストラ名となるため分かりません。 ・レジストリ/レジストラとは - JPNIC 　https://www.nic.ad.jp/ja/basics/terms/registry-registrar.html ・ドメイン用語集 - ゴンベエドメイン 　https://www.gonbei.jp/guide/vocabulary.html

5. 5 ドロップキャッチに気をつけろ！（１／３） ▪ドロップキャッチとは？ ・ドロップキャッチとは（2007/12/17） 　https://www.nic.ad.jp/ja/basics/terms/dropcatch.html ・自治体観光サイトなりすまし被害～高い信頼性標的（2016/11/15） 　https://www.yomiuri.co.jp/science/feature/CO017291/20161116-OYT8T50026.html 　ドメイン名の有効期限が切れたタイミング（更新を忘れた又は手 放すなど）を狙い、再登録可能になった瞬間に元の登録者ではな い第三者が当該ドメインを登録する行為。

   【読売新聞】 新居浜市観光サイトが３月末まで使っていた「niihamakanko.com」 を４月に「www.city.niihama.lg.jp/kanko/」に移行した後、旧ドメイン の使用の権利を手放したため、外国人名の人物が取得。登録さ れたＩＰアドレスからサーバーはカナダにあるとみられる。 ▪愛媛県新居浜市の観光サイトの事案（2016/11/15）

6. 6 ドロップキャッチに気をつけろ！（２／３） ▪人気ドメインはオークションに！ ・ＮＨＫ関連サイトのドメイン、ネットに出品　悪用の恐れ（2018/10/15） 　https://www.asahi.com/articles/ASLBH6QVWLBHUCLV00R.html

7. 7 報道のあったドロップキャッチ事案 組織名 報道日付 ドメイン名 元サイト 現在の状態 愛媛県新居浜市 2016.11.15 niihamakanko.com

   観光サイト オークション中 内閣府 2017.12.22 cyber3conf-okinawa2015.jp Cyber3 Conference Okinawa 2015 アダルトサイト 内閣府 2018.05.09 sip-cao.jp SIP ※ 風俗サイト 岐阜県羽島市 2018.06.08 arigato-hashima.com ふるさと納税サイト アダルトサイト 地方公共団体 情報システム機構 2018.07.21 lascdec.or.jp 地方自治情報センター （2014年4月からJ-LIS） 一時凍結 NHKｴﾝﾀｰﾌﾟﾗｲｽﾞ 2018.10.15 nhk-grp.jp NHKグループ オークション中 さいたま市 2018.10.31 world-bonsai-saitama.jp 世界盆栽大会 ｉｎ さいたま アダルトサイト ※戦略的イノベーション創造プログラム ▪ドロップキャッチされると何がダメなのか ・利用者は、以前の信頼されたサイトだと思ってアクセスしてくる ・フィッシングサイトに悪用されたり、マルウェア感染狙いも

8. 8 ご参考： 組織合併時等における属性型・地域型JPドメイン名の 1組織1ドメイン名制限緩和（2014年4月17日） 「組織名変更」「合併」「事業譲渡」が2014年2月17日以降 に発生し、その事実が客観的かつ公に確認可能である 場合には、1組織にて2つ以上の属性型・地域型JPドメイ ン名の登録を可能としました。 ・「属性型（組織種別型）・地域型JPドメイン名登録等に関する規則」の改訂について（改訂主旨）（更新） 　https://jprs.jp/whatsnew/notice/2014/20140217-rule.html

9. 9 VirusTotalを使ったドメインの調査 ▪VirusTotalで niihamakanko.com ドメインを調査 公式サイトによる 運用 ドロップキャッチ されたドメインに よる運用？

   ・VirusTotal 　https://virustotal.com

10. 10 Censysを使ったIPアドレスの調査 ▪IPアドレスをホストしている場所を調査 ・Censys 　https://censys.io 読売新聞の記事で カナダとあるのは、 ここから…

11. 11 RiskIQによる詳細調査（１／３） ▪RiskIQでIPアドレスの変遷を確認 ・RiskIQ Community Edition 　https://community.riskiq.com/login RiskIQでは、VTより 細かくIPの記録が 残っている。

    カジノサイトとして運営 されたのは、21日間だ けだった。

12. 12 RiskIQによる詳細調査（２／３） ▪RiskIQでWhoisの変遷を確認 VTでは見れないWhois の履歴が、RiskIQでは 確認できる。 読売新聞の記事で 外国人が登録とあ るのは、ここから 住所は、

    東京都千代田区 一番町21番地

13. 13 RiskIQによる詳細調査（３／３） ▪RiskIQでWhoisの変遷を確認 カジノサイトが運営 していたIPは、 192.64.147.141 読売が記事を書い た時点のIPは、 104.152.168.34 カナダ　　じゃなくて

    アメリカ　　だった！ 読売の記事は間違い！

14. 14 WaybackMachineを使ったサイトの調査（１／２） ▪2016年3月当時のアーカイブを確認 Internet Archive: Wayback Machine https://archive.org/web/ 　 巡回で収集された

    時点のコンテンツ が閲覧できる。

15. 15 WaybackMachineを使ったサイトの調査（２／２) ▪2016年11月当時のアーカイブを確認 まるで、新居浜市観光課が カジノサイトと提携したかの ような書きぶり！

16. 16 デジタルアーカイブ問題（１／４） ▪Webコンテンツは取っておく意志がないと残らない？ WayBackMachineには、1996/10/23のYahoo.com のアーカイブが保存されている。（22年前！）

17. 17 デジタルアーカイブ問題（２／４） ▪大手無料ホームページサイトの閉鎖（2018/10/01） ・Yahoo!ジオシティーズサービス終了のお知らせ 　https://info-geocities.yahoo.co.jp/p/close/ 2019年3月末 閉鎖

18. 18 デジタルアーカイブ問題（３／４） ▪予算の問題でコンテンツが捨てられる事案が発生 ・沖縄戦を語り継ぐサイトが5年で休止、浮かび上がるデジタルアーカイブ問題（2018/10/05） 　https://tech.nikkeibp.co.jp/atcl/nxt/mag/nc/18/020600011/100100017/

19. 19 デジタルアーカイブ問題（３／３） ▪動的コンテンツの場合はうまくアーカイブされない問題 東京大学の 渡邉教授から ツイート 動的コンテンツ が再生されない

20. 20 どうすりゃいいの？ ▪ドメインの管理 ・Web サイト等の整備及び廃止に係るドメイン管理ガイドライン （平成30年3月30日） 　https://cio.go.jp/sites/default/files/uploads/documents/domain_guideline.pdf 公共性が高いコンテンツは悪用されやすいの で、特にご注意を！ 1年以上前から

    移行を告知 旧ドメインは 一定期間保持 するしかない

21. 21 まとめ ◆ドメインを廃止する場合、影響範囲（知名度、被リ 　ンク）を確認の上、事前に周知するなどの準備を。 ◆しばらく旧ドメインを保有しておくことも検討。 （ドロップキャッチされ風評被害となる可能性） ◆廃止ドメインの更新費用も盛り込んでおきましょ 　う。（年間数千円をケチるな！） ◆汎用ドメインを持つならずっと持ち続ける覚悟を！ ◆VirusTotal、WayBackMachine、RiskIQなどの

    　OSINTツールで調査すると面白いぞ！

22. ご清聴ありがとうございました。 22 次回予告 『DoS/DDoS攻撃』