フィッシングとドメイン名・DNS

フィッシングとドメイン名・DNS
2022年2月26日
【第7回】サイバーセキュリティ勉強会2022 in 塩尻
株式会社日本レジストリサービス（JPRS）
森下泰宏
Copyright © 2022 株式会社日本レジストリサービス 1

講師自己紹介
• 森下泰宏（もりしたやすひろ）
– 所属：JPRS 技術広報担当・技術研修センター
– 主な業務内容：技術広報活動全般・社内外の人材育成
＜略歴＞
1988年
ディジタルコンピュータ株式会社（DCL、独立系SIer）に入社
1990年よりWIDE Projectメンバーとして、日本のインターネット構築に創始期より参加。
1993年
学校法人東京理科大学情報処理センター着任
キャンパスネットワーク及び教育用システムの設計、構築、運用を行う。
1998年
社団法人日本ネットワークインフォメーションセンター（JPNIC）着任
JPドメイン名登録システム及びJP DNSの管理運用に従事。
2001年
株式会社日本レジストリサービス（JPRS）に転籍
DNSに関する技術研究を中心に活動。
2007年同社技術広報担当として、 DNSおよびドメイン名関連技術に関する情報提供・教育啓発を中心に活動中（現職）。
2021年同社技術研修センター主任講師として、教育・研修を通じた社内外の人材育成を担当（兼務・現職）。

会社概要（JPRS）
株式会社日本レジストリサービス
JaPan Registry Services
主な役割
–JPドメイン名（.jp）の登録管理
–JP DNSサーバーの運用、 Mルートサーバーの共同運用
–インターネットのポリシー策定や技術の標準化など、
国際活動・研究開発への貢献

JPRSのサービス
• JPドメイン名登録サービス
– 2020年10月に登録数が160万件を突破
• gTLD取次サービス
– .com、.net、.infoなど、17種類のTLDの取り扱い
• TLD総合支援サービス
– .ntt、.sakuraの運用を支援
• サーバー証明書発行サービス
– 2016年4月26日から提供開始

- 本日の内容 -
• ドメイン名・DNSの観点から見た手法の分類
• 手法の概要とWebサイトの運営者における対策

ドメイン名・DNSの観点から見た
手法の分類

おさらい：フィッシングとは？
• 「実在する組織を騙って、ユーザネーム、パスワード、アカ
ウントID、ATMの暗証番号、クレジットカード番号といっ
た個人情報を詐取することです。」
引用元：フィッシング対策協議会 | 消費者の皆様へ | フィッシングとは
<https://www.antiphishing.jp/consumer/abt_phishing.html>
実在する組織を騙り、情報を詐取する手法

おさらい：ドメイン名・DNSとは？
• ドメイン名：「ネットワークやコンピューターを、インター
ネット上で一意に特定するための識別子の一つです。」
• DNS：「インターネットに接続されたコンピューターの情
報（ドメイン名とIPアドレスの対応など）を得るための仕
組みです。」
引用元：JPRS用語辞典 <https://jprs.jp/glossary/>
接続相手を特定し、対応付けるための仕組み

フィッシングとドメイン名・DNSの関係
• ドメイン名・DNSの仕組みが、組織を騙る手法として使われる
場合がある
• 使われるドメイン名から、大きく二種類に分類できる
1. 本物のドメイン名を使う
• 何らかの手法で、アクセスを奪取する
2. 本物ではないドメイン名を使う
• 何らかの手法で、本物と誤認させる
• 本物のドメイン名を使う手法は、更に二種類に分類できる
1.1 使用中のドメイン名を使う
1.2 使い終わったドメイン名を使う

代表的な手法とその分類
• 1.1の例
– Webコンテンツの不正書き換え
– 登録情報の不正書き換え
– Lame delegationを利用した乗っ取り
– ゾーン情報の不正変更
– DNSキャッシュポイズニング
– 利用者側機器のDNS設定の不正変更
• 1.2の例
– ドロップキャッチ
– サブドメインテイクオーバー
• 2.の例
– サブドメインの利用
– 形が類似する文字を使った攻撃
– 異なるTLDの利用
– ドメイン名の”.”の省略・”-”への変更など
– アプリケーションの表示仕様の利用
使用するドメイン名
本物のドメイン名
本物ではないドメイン名
使用中のドメイン名使い終わったドメイン名
分類 1.1 1.2 2.
以降で、太字で示した手法と
その対策について解説

手法の概要と
Webサイトの運営者における対策

本セクションで解説する手法
1. 本物のドメイン名を使う手法
– 登録情報の不正書き換え
– Lame delegationを利用した乗っ取り
– ドロップキャッチ
– サブドメインテイクオーバー
2. 本物ではないドメイン名を使う手法
– サブドメインの利用
ここで紹介する手法・対策は、ドメイン名・DNSの観点からのものであることにご注意ください

登録情報の不正書き換え：概要
• 登録情報の流れのどこかで、不正書き換えを実行
本物と異なるドメイン名
分類 1.1 1.2 2.
1）登録者になりすまして、レジストラのデータベースを書き換え
2）レジストラのシステムの脆弱性を突き、データベースを書き換え
3）レジストラになりすまして、レジストリのデータベースを書き換え
4）レジストリのシステムの脆弱性を突き、データベースを書き換え
レジストリ
レジストラ
登録者
example.TLD
ネームサーバー情報
登録者情報 etc
TLD 権威DNSサーバー
example.TLD
偽権威DNSサーバー
example.TLD
不正なNSレコード
☠
☠ ☠
☠ ☠
1） 2） 3） 4）
example.TLD
登録者情報 etc
example.TLD
登録者情報 etc

登録情報の不正書き換え：対策
• 不正書き換えの防止
– アカウント管理の適正化
• 二要素認証やクライアント証明書の活用などによる、なりすましの防止
– レジストリロックの利用
• 一部のレジストリがオプションサービスとして提供
• 不正書き換えの検知（早期発見）
– Whoisのネームサーバー情報や、レジストリの権威DNSサーバーの
NSレコードのチェック
• チェックのためには、ネットワークやDNSに関する一定の知識が必要になる

Lame delegationを利用した乗っ取り：概要
• Lame delegationを利用し、
ドメイン名の乗っ取りを図る
攻撃方法が存在
分類 1.1 1.2 2.
DNS の不適切な設定が発生する危険性があるケースとネームサーバ設定状況の確認方法について
<https://jprs.jp/whatsnew/notice/before2011/problematic_ns_notice.html>
右図において、廃止されたexample1.ne.jpを
第三者が登録し、不正なexample.co.jpゾー
ンを設定することで、example.co.jpの乗っ
取りが成立する

Lame delegationを利用した乗っ取り：対策
• 管理対象ドメイン名の、不適切なネームサーバー設定の確認・修正
– 不適切な設定の例
• 初期登録時に間違ったネームサーバーホスト名を設定した
• ネームサーバーホスト名をスペルミスしている
• 公開終了したサイトのネームサーバー設定を削除していない
• サービス事業者のドメイン名が廃止されたのに、ネームサーバー設定を削除していない
• サービス事業者を変更したのに、ネームサーバー設定を変更していない
• JPドメイン名では2006年1月より、登録済みドメイン名のネームサー
バー設定について、定期的な調査と危険性の高い設定の削除を実施
DNSサーバの不適切な設定の削除とそれに伴う技術細則の改訂について
<https://jprs.jp/whatsnew/notice/before2011/200601-problematic_ns.html>
複数のネームサーバーホスト名
の一部が誤っていても名前解決
できるため、不適切な設定に気
づきにくい

ドロップキャッチ：概要
• 登録可能になる瞬間を狙
い、目的のドメイン名を
素早く登録しようとする
行為
分類 1.1 1.2 2.
更新されなかったドメイン名は、
一定期間後に登録可能になる

ドロップキャッチ：対策
• ドメイン名の廃止にあたっての、十分な検討・準備
• 商標の侵害など、ドメイン名紛争処理方針（DRP）に該当す
る事由などがない限り、第三者によるそのドメイン名の登
録・利用を差し止めることはできないことに注意
ドメイン名の廃止に関する注意
<https://jprs.jp/registration/suspended/>
ドメイン名の廃止にあたっての注意
<https://www.antiphishing.jp/news/techwg_openday2020_online_JPRS.pdf>

サブドメインテイクオーバー：概要
• CDNなどの外部サービスの利用終了後、残ったままになっているDNS
設定を利用し、サブドメインの乗っ取りを図る攻撃手法
– 同じドメイン名でWebサーバーを再設定
分類 1.1 1.2 2.
外部事業者のサーバー
（cdn.example.net）
example.jp
権威DNSサーバー
campaign.example.jp
Webサーバー
campaign.example.jp. IN CNAME cdn.example.net.
CNAMEレコードが
残ったまま
☠

サブドメインテイクオーバー：対策
• 外部サービスの利用終了時に、DNS設定も削除する
– 利用開始時に設定したCNAMEレコードやA/AAAAレコード
• 攻撃可能なDNS設定が残っていないかチェックする
– 事業者が技術文書やツールを公開している場合もある
• サブドメインテイクオーバーされにくい事業者を選ぶ
– 事業者における対策例
• サーバー証明書を提出しないと、Webサーバーを設定できない
• CNAMEレコードを削除しないと、Webサーバーを削除できない

サブドメインの利用：概要
• <https://www.example.jp/> のフィッシングサイトを、
<https://www.example.jp.example.TLD/> のように、
本物と同じ文字列で始まるサブドメインで設定する手法
– アプリケーション・サービスの表示仕様との併用
• スマートフォンでは横に長いURLは表示しきれない
• そもそもURLが表示されないアプリもある
分類 1.1 1.2 2.

サブドメインの利用：対策
• 攻撃者の偽造・利用者の誤認を完全に防ぐことは困難
• 利用者の誤認を低減するための、地道な対策が必要になる
– Webサイトの運営者ができる対策は？

Webサイトの運営者ができる対策
• フィッシング対策ガイドライン 2021年度版 p.14～33に、
「Webサイト運営者におけるフィッシング詐欺対策」が記載
• 「4.3.4 ドメイン名に関する配慮事項」の記載項目
• 利用者の認知しているWebサイト運営者名称から連想されるドメイン名とすること
• 使用するドメイン名と用途の情報を利用者に周知すること
• ドメイン名の登録、利用、廃止にあたっては、自社のブランドとして認識して管理すること
フィッシング対策ガイドライン 2021 年度版
<https://www.antiphishing.jp/report/antiphishing_guideline_2021.pdf>
誤認されにくいドメイン名を使い、利用者に適切に伝え、適切に管理する

ドメイン名の周知におけるtips
（誤認低減策の一つ）
• 自分のWebサイトを周知する際、URLのドメイン名部分の
末尾に/を付ける
– 良くない例：
– 修正例：
次の点にご注意ください。
・URLのクリック前に必ず、URLが https://███.com で始まっているかを確かめる
次の点にご注意ください。
・URLのクリック前に必ず、 URLが https://███.com/ で始まっているかを確かめる

- 本日のまとめ -
• 使われるドメイン名から、以下のように分類できる
1. 本物のドメイン名を使う
1.1 使用中のドメイン名のアクセスを奪取する
1.2 使い終わったドメイン名を再使用する
2. 本物と異なるドメイン名を、本物と誤認させる
• Webサイトの運営者における対策
– 共通：それぞれの手法を理解し、適切な対策を実施する
– 1.への対策：ドメイン名とDNSの適切な管理
– 2.への対策：利用者の誤認を低減するための周知・注意喚起

最後までご視聴いただき
ありがとうございました！
@JPRS_official JPRSofficial
<https://jprs.jp/tech/>
JPRSpress

フィッシングとドメイン名・DNS

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie フィッシングとドメイン名・DNS

Ähnlich wie フィッシングとドメイン名・DNS (20)

Mehr von Shiojiri Ohhara

Mehr von Shiojiri Ohhara (20)

フィッシングとドメイン名・DNS