東京五輪公式サイトに類似したドメイン名の調査分析

https://www3.nhk.or.jp/news/html/20190530/k10011934931000.html

はじめに

東京五輪公式サイト(tokyo2020.org )に類似したドメイン名の調査分析に関して、NHKの取材に協力しました。取材に基づくニュースが2019/5/30のニュース7、および首都圏ニュースで放送されました。以下では放送内では紹介しきれなかった具体的な調査方法と得られた結果の一部をご紹介したいと思います(さしあたってIT系技術者向けに書いています)。このような調査分析の趣旨は、フィッシング攻撃に対する注意喚起が主目的です。東京オリンピックにちなんだビジネスや関連事業を営む方々が類似ドメイン名を正当な目的で使うことは十分に考えられ、決してそれらの営みに問題があるといった主張ではありません。どうぞご了承ください。

※以下に簡単な分析結果を示しますが、現在十分な時間がとれないため、徐々に更新していきます。

調査方法と利用データ

現在有効なインターネットドメイン名として登録されているドメイン名のリストから、文字列として “tokyo” および “2020” の両方を含んだドメイン名を抽出しました。文字列が出現する順番は問いませんので、2020 の次に tokyo が来るようなケースも対象となります。元のドメイン名データとしては下記のサービス (domainlists.io) から取得可能な、1,358のTLDのゾーンファイル(に相当するようなデータ)を使いました。

https://domainlists.io/domains-api/

2019年5月27日に取得したドメイン名データには241,382,777 件のドメイン名が登録されていました。これら約2.4億件のドメイン名に対して、単純に文字列検索を行った結果 (exact match)、956件の「類似ドメイン名」が抽出されました。

類似ドメイン名の内訳

956件中、Aレコードを解決できたドメイン名は689件でした。VIrusTotal を使った簡易検査では、2つのドメイン名が malicious 判定、1つのドメイン名が malware site 判定、19のドメイン名が suspicious 判定でした。いずれも現時点ではアクティブではありません。

また、TLDのTop 10 は下記でした。左側の数字は出現回数です。.com、.org、.net などのgTLDが多いのは予想通りですが、.tokyo の率が高いことが見て取れます。.tokyo 配下には9件のIDN(国際化ドメイン名)も存在しています。.jp は11位でした。

制限事項

今回は単純な exact match で見ていますので、typosquatting や IDN homograph などのテクニックを使った類似ドメイン名は調査の対象外です。これらの調査分析は今後の課題となります。また、悪性判定は VirusTotal (VT) を使っているため、判定精度は VT の精度に依存しています。一般に悪性サイト(ドメイン名)の寿命は短いため、他のチャネルも使って情報収集をし、解析することが必要だと考えています。また、他に追加で実施すべきだと考えているのはドメインパーキングの判定、各ドメイン名へのアクセス状況(passive DNS)、ドメイン名登録履歴などです。これらの分析はいずれも今後の課題です。

まとめ

東京五輪公式サイト(tokyo2020.org) に類似したドメイン名は多数存在している(登録されている)ことがわかりました。これは簡易な分析で、もう少し凝った形で類似ドメイン名を登録しているケースを含みません。したがって、実際に存在する類似ドメイン名はさらに多いかもしれません。

今回抽出した類似ドメイン名の多くはドメインパーキングと呼ばれるサービス事業者によって保持されており、お金を払えば誰でも取得(登録情報を移転)できる状況にあります。その他のドメイン名としては、ブランドプロテクションのように思われるケース、東京五輪関のサービスを展開する旅行代理店のサイト、海外向けのチケット購入関連、関連イベントに利用されているドメイン名など、正規の目的で使われているケースがありました。また、ごく少数ではありますが、過去または比較的最近に VirusTotal にて悪性判定されたドメイン名も存在していました。幸いそれらのドメイン名は現在休止状態にありますが、ずっとそのままであるという保証はありません。

これらの類似ドメイン名が公式サイトのものであるのか、そうでないのか、安心してアクセスできるものなのか、注意すべきドメイン名であるかを、ドメイン名を構成する文字列からのみで判定することは専門家であっても困難なケースがあります。自衛する手段としては、情報源の確認につきます。そのドメイン名の評判を調べる際に、検索エンジンで調べてみる(そのときにダブルクォーテーションで “tokyo2020.org” の用に囲んで検索することが重要です。そうでないと、検索せずにアクセスしてしまう場合があるからです)。また、不審なドメイン名であると感じたら VirusTotal でチェックすることも有効です。”URL” と書かれたタブから、URL を入力し、検査することができます。ただしここで悪性判定されなかったからといって、100%安全であることは保証されません。最後は自己責任 (at your own risk) ということになります。https://www.virustotal.com/

関連研究

以下はこれまでに我々が実施してきた関連研究です。

  1. 鈴木宏彰, 森達哉, 米谷嘉朗, “IDNホモグラフ攻撃の大規模実態調査:傾向と対策” コンピュータセキュリティシンポジウム2018論文集, Vol. 2, pp. 249–256, 2018年10月 (CSS2018 学生論文賞) [pdf]

謝辞

本調査を進めるにあたり、早稲田大学基幹理工学部の鈴木宏彰君、NTTセキュアプラットフォーム研究所の千葉大紀さん、JPRSの米谷嘉朗さんにご協力頂きました。ここに御礼を申し上げます。