[レポート]”2020″ サブドメインは本当に悪用されたのか? ー サブドメインに埋もれた真の脅威に迫る – CODE BLUE 2021 #codeblue_jp

CODE BLUE 2021で行われた「"2020" サブドメインは本当に悪用されたのか? ー サブドメインに埋もれた真の脅威に迫る」セッションのレポートです。
2021.10.20

CODE BLUE 2021の下記セッションのレポートです。

"2020" サブドメインは本当に悪用されたのか? ー サブドメインに埋もれた真の脅威に迫る

本研究では昨年の CODE BLUE の講演において、tokyo.2020.TLD、 tokyo2.020.TLD、 tokyo20.20.TLD、 tokyo202.0.TLD (TLD は任意のトップレベルドメイン) の注意喚起を行った。これらは東京がオリンピック候補地に挙がるはるか以前に、候補地に依存しない数字部分をドメインとして登録したものが多く見られ、サブドメインにより "tokyo2020" に類似させていた。ほとんどのドメインはパークされておりリスクは低かったが、東京2020オリンピック期間にタイミングを合わせて悪性転用されるシナリオを危惧し、オリンピック半年前から観察してきた。オリンピック期間中も観察を継続し、幸いにも本研究の観察範囲に限ると重篤な脅威は検知されなかった。

一方で、WHOIS や TLD のゾーンファイルに登録されないサブドメインをさまざまな角度から深く掘り下げ、潜在的な脅威を認識するに至った。近年、制約なく自由な文字列を運用できるサブドメインをフィッシング詐欺に悪用し、ブランドドメインの正規 URL を運用するケースが目立ってきているが、ブランド悪用との併用によるイベント狙いである。つまり、平常時は google.com.2020.TLD、 yahoo.com.2020.TLD のようなブランド悪用、イベントのタイミングで ticket.tokyo.2020.TLD のような悪用を狙うのである。今後のオリンピックである "beijing2022" や "paris2024" を調査したところ、イベント狙いの痕跡はなかったが、"2022" や "2024" のブランド悪用は観察されていた。

本講演では、昨年の評価対象であるtokyo2020類似ドメインを追跡評価し、東京2020オリンピックの事前評価・本番観察・事後評価により分析した結果を報告する。また、サブドメインを掘り下げた分析から懸念される今後の潜在的な脅威とその対策法について言及する。

Presented by :
谷口 剛 - Tsuyoshi Taniguchi

レポート

  • "2020" サブドメインは本当に悪用されたのか?の話
  • 研究の全体像
    • 東京オリンピックのドメインに注目したの2010年中頃
    • Typosquatting(打ち間違い)を狙う手法が多い
    • 昨年の講演で2020サブドメインの注意喚起を行った
    • 2020が延期となり、2021開催となった
    • tokyo2021の登録も見られた
  • 今回の発表は昨年危惧したシナリオがオリンピック本番で起きたかどうかの発表
    • 結論としては深刻な脅威は無かった
    • オリンピックに関係ないことにも注目した
  • 昨年の振り返り:2020サブドメインの注意喚起
    • 2020サブドメインのパターン例(本公演限りの表記)
      • Tokyo.2020.TLD
      • Tokyo2.020.TLD
      • Tokyo20.20.TLD
      • Tokyo.2020.TLD
    • 昨年の段階では一部を除き、サブドメインが使われた形跡はあまり無かった
  • 講演を通じてサブドメイン悪用の驚異を伝えたい
    • サブドメインテイクオーバー
      • CNAMEの設定不備からサブドメインを乗っ取る
    • 今回は levelsquatting 型を伝える
      • サブドメインの部分で正規URLを悪用する
      • スマートフォンでは画面表示部分がすくないので、正規URLと勘違いする場合もある
      • 日本でも身近な脅威になっている
  • 東京オリンピックではパークドメインの悪用を懸念していた
  • パークドメインの検知方法
    • dig command with NS option
    • Passive DNS NS Record
      • 採用した方法
    • WHOIS
  • オリンピックを通じてどう観察したのか
    • 事前の観察(2/18-7/19)
      • 過去のオリンピックの同様の被害がなかったか
      • 他のイベントで同様の被害がなかったか
      • サブドメインが特別な挙動をとるか
    • 開催中の観察 (7/21-8/8)
    • 事後の観察(8/9-8/19)
  • 事前評価
    • 過去のオリンピックでも悪用を確認できた
    • 米国大統領選関連でも悪用を確認できた
    • 仮設:悪用する人がいる場合はサブドメインが応答し始めるのではないか
    • 毎日13時にサブドメインのクエリをパブリックキャッシュDNSにクエリしてIPアドレス返答を調査
    • 結果:常時130程度が応答、4/10から一時的に180程度に増え、5/9に応答が減った
    • 知見:パークドメインでワイルドカード機能を設定している場合があり、この場合は同じ応答になる
      • Tokyo.2020.TLDでもcodeblue.2020.TLDでも同じ応答
    • 知見:(理解追いつかず)
  • 本番開催中の観察
    • 背景として、東京オリンピックに決まったあたりから名前解決がでてきた
      • 2021サブドメインは延期が決まった直後に急増
    • 観察している範囲で、深刻な驚異は見られなかった
    • (他、理解追いつかず)
  • tokyo に関係ないサブドメインについての話に移行
    • サブドメインはドメインを分割して用途別に使うもの
  • サブドメインの探索方法
    • ドメインに関するレコードを集めてくれるワイルドカード機能を利用して収集
    • NSサーバのAレコードを捕まえてしまっていたので、途中で捕まえないようにした
  • サブドメインは個人レベルではあまり利用されていない
  • (理解追いつかず)
  • 2020サブドメインに関して、6割くらいサブドメインが確認できた
    • ブランド悪用が多かった
  • ブランド悪用
    • 2010〜2024サブドメインをターゲットにした
    • 分析対象に対してブランド悪用は8%程度確認できた
    • google, yahoo, facebook の悪用が多かった
  • 2016〜2024サブドメインの悪用
    • どの数字サブドメインもブランド悪用されている結果だった
  • オリンピックとブランド悪用の関連性
    • 16.com や 2016.com のブランド悪用の数が多かった
  • 将来のオリンピックの懸念
    • 攻撃者視点で考えると悪用できるタイミングで悪用するという考え方かもしれない
    • 「注意喚起」ではなく「警戒」にトーンダウンする
  • ユーザをどうやって誘導するか
    • typosquatting はキーボード上で近い距離にある必要がある
      • ドットが入ると typosquatting の可能性は少なくなる
    • (理解追いつかず)
  • 対策
    • 正規サイトは分かっているので数字ドメインをブロックする手もある
    • 数字ドメインのパークドメインを自動判定できるので数字に関わるイベント期間だけブロックする案もある
    • 怪しいURLはクリックしない
  • まとめ
    • 2020年に懸念したオリンピック期間中のシナリオは観察されなかった
      • 一部気になるサブドメインはあった
    • サブドメインのブランド悪用を確認できた
    • 貢献内容
      • パークドメインは〜(理解追いつかず)
      • サブドメインの潜在的な驚異を示した
      • サブドメイン悪用はオリンピックだからといったわけではなく常に警戒が必要

感想

自身の技術力不足により、肝心なところがあまり理解できませんでした。勉強が必要そうです。