ドメイン名廃止後のリスク、ランダムサブドメイン攻撃など2023年の「ドメイン名ニュース」

2023年12月28日 09時00分更新

文● 渡瀬圭一　編集●大谷イビサ

　2023年12月14日、JPドメイン名を管理運用する「株式会社日本レジストリサービス（JPRS）」が、恒例となっている2023年度版の「ドメイン名重要ニュース」を発表した。JPRSのドメインネームニュース担当者が選んだ今年の話題とは？

■1位ドメイン名廃止後のトラブルやリスクが注目される

　今年の1位に選ばれたのは、利用されていたドメイン名の廃止をきっかけとしたトラブルやリスクが大きく注目されたという話題である。ニュース記事を少し検索してみたところ、NHKだけでも過去1か月で3件のニュースが見つかった[*1]。

　使っていたドメイン名を手放した結果、そのドメイン名を第三者に登録されてしまうことは珍しいことではない。以前の登録者がそのドメイン名を広く告知しており、ユーザーが多ければ多いほど他のサイトからリンクされていたりブックマークされていたりする可能性が高く、サイトを公開するだけで一定の訪問者（アクセス数）が見込めるからである。

　そうしたドメイン名の利用ではアクセス数の確保が主な目的となることから、元のサービスとは無関係なWebサイトになってしまうことも珍しくない。以前は地方自治体のキャンペーンサイトであったはずなのに、いつの間にかアダルトサイトやギャンブルサイトになっていたという話を聞いたことがある読者の方も多いのではないだろうか。

　こうしたことが起きるたびに問題となるのが、ドメイン名を再利用されてしまった場合の使用状況の確認や、呼びかけのためのコストである。たとえば、自分が手放したドメイン名が怪しげなサイトになっていた場合、アクセスすることで詐欺にかからないか、アクセスしたスマホやPCがウイルスで汚染されることがないかといった確認や、アクセス先の内容が自分とは無関係であることの呼びかけが必要になるなど、さまざまなコストが発生してしまう。

　また、手放したドメイン名が第三者に登録・再利用された場合の影響は、ユーザーが直接目にするケースのみに留まらない。たとえば、アフィリエイト情報の表示やアクセス解析などに用いられるSaaSタグに含まれるドメイン名が悪意のある第三者に渡ってしまった場合のことを考えてみよう。

　SaaSタグとは、SaaSを利用するためにWebサイトに埋め込まれるコード、あるいはそのコードへのリンクである。タグはWebページ内に埋め込まれ、そのページが読み込まれた際にユーザーのスマホやPC上で動作する。

　この仕組みを知っている悪意のある第三者がタグに含まれるドメイン名を手に入れることができれば、そのドメイン名のアクセス先にサーバーを設置して任意のコードを置くことができる。つまり、SaaSタグを悪用し、SaaSタグが埋め込まれた状態のサイトにアクセスしたユーザーのスマホ、あるいはPC上でそのコードを実行させることができてしまうのである[*2]。これは、とても怖いことではないだろうか。

　このように、ドメイン名を登録・再利用されてしまった場合、その対応には多大なコスト負担が発生するし、ブランドレピュテーションも明確に低下してしまう。そのため、使っているドメイン名を手放す際には、手放したあとに悪意のある第三者がそれを使ったらどうなるのかという想像力を働かせなければいけない。逆に言うと、期間限定のサービスやキャンペーンなどでドメイン名を新たに用意し、使い捨てるという考え方は、組織全体の信用に影響する大きなリスクだと認識する必要がある。

　ドメイン名を維持するコストは、多くの場合で年数千円。その程度の額であれば、仮に10年維持しても数万円程度だ[*3]。企画時にその予算を加えることは、決裁者にとっても難しい話ではないであろう。むしろ、ドメイン名が維持され続ける体制や仕組みづくりにコストをかけられるか、ということの方が重要になってくる。

　何らかの企画をする側は、その企画の成功を第一に考えるということは理解できる。しかし、その後のこと、たとえば役目を終えた際の店じまいの話はあまり考えられていないのではないだろうか。ドメイン名はブランドであり、広く使われることでその存在自体が高い価値を持つようになる。つまり、一度使い始めたドメイン名は使われる時期の何倍もの間ずっと維持し続ける必要があり、使い始める時にはそれだけの覚悟が必要になるものなのである。

　もし、この話に関心があるのであれば、以下の情報にアクセスしてみてほしい。ドメイン名のライフサイクルマネージメントというのは、これからの企画者には必須の知識となるはずである。

▼ ドメイン名のライフサイクルマネージメント -2020-（DNSOPS.JP）
https://www.nic.ad.jp/ja/materials/iw/2020/proceedings/c33/c33-ishida.pdf

▼ JPドメイン名のライフサイクル（JPRS）
https://jprs.jp/about/dom-rule/lifecycle/

[*1] 2023年11月下旬から12月中旬までのニュース

「パパ活」情報「Go Toイート」URLで表示ドメイン流用の実態（11月29日）
https://www3.nhk.or.jp/news/html/20231125/k10014268791000.html

滋賀県が使っていた「ドメイン」を第三者が使用県が削除要請（12月8日）
https://www3.nhk.or.jp/lnews/otsu/20231208/2060014780.html

過去の「ドメイン」の第三者使用長野市で新たに4つ判明（12月14日）
https://www3.nhk.or.jp/lnews/nagano/20231214/1010029061.html

[*2] この手の具体的な話を知りたい方は、Internet Week 2022で発表・公開された以下の資料を見ると良いだろう。

本当にあったドロップキャッチの怖い話～Visionalistの場合～
https://www.nic.ad.jp/ja/materials/iw/2022/proceedings/c63/c63-kanda.pdf

[*3] 真面目な話をすると、10年という期間が妥当であるかは不明である。維持する期間は長ければ長いほど良いと思えるが、その取引先となる事業者がその期間存続するかといったことまで考えると悩ましいところである。

■2位ランダムサブドメイン攻撃の活発化

　2位に選ばれたのは、2023年になって再び活発化してきたランダムサブドメイン攻撃の話題である。ランダムサブドメイン攻撃とは、2014年初期より世界的に観測され始めたDNSサーバーに対するDDoS攻撃[*4]の手法である。

　攻撃の原理は単純で、DNSの問い合わせにランダムなサブドメインを付加することでフルサービスリゾルバー（キャッシュDNSサーバー）のキャッシュ機能を無効化し[*5]、ターゲットとなる権威DNSサーバーに多数の問い合わせが向かうように仕向けるというものである。問い合わせの数が多ければ、フルサービスリゾルバーにとっても権威DNSサーバーにとっても大量の問い合わせを処理しなければいけないことになり、サーバーやネットワークの負荷が処理能力を超えると、サービス不能の状態となる。

　この攻撃手法は、DNSの仕組みそのものを攻撃に悪用しており、応用範囲が広い上に正規のフルサービスリゾルバーを踏み台に使われると対策が取りにくい。なかなかに厄介な攻撃であるため、その対策としては、JPRSの記事にあるように「攻撃耐性を高めることと、攻撃の巻き添えによるサービス停止リスクの低減を図ること」ということになる。つまり、現状では、サーバーやネットワーク回線を増強したり、他のサービスを使って保険をかけたりといった、コストのかかる対策をしなければいけないのである。

　ユーザーがこの攻撃の影響を受けると、攻撃されたドメイン名の名前解決が失敗するようになり、Webサイトへのアクセスやメールの送受信に支障が出るといったトラブルに見舞われる可能性がある。少し古い資料ではあるが、Internet Week 2014での講演資料[*6]が公開されているので、DNSに興味のある方はそちらを参照すると良いだろう。当時の雰囲気も合わせて知ることができるのではないだろうか。

　もともとは、特定の組織やサービスを提供するドメイン名の権威DNSサーバーをターゲットに選んでいたと考えられるランダムサブドメイン攻撃だが、今回のものにはそのような傾向が見られないという。そうした中での興味深い話題として、Internet Week 2023の「DNS DAY」というプログラムで報告された内容を紹介する。

　結論を先に言ってしまうと、一部のランダムサブドメイン攻撃は、サービスの運用・提供を妨害すること（DoS攻撃）を目的としていない可能性があるというものである。周囲に迷惑をかけないよう慎重に設置したハニーポットに来たアクセスを分析した結果得られたというその知見は、かなり興味深い。

　サブドメインの名前を作るためにある種の辞書を使っているようだという内容から、筆者は、そのドメイン名にどのような名前があるのかを探っているのではないかという印象を持った。サービスやキャンペーンを企画する側が一般公開する前に、試験運用を目的としてサブドメインを設定したWebサイトを公開することは珍しくない。また、一般公開を目的としない内部専用Webサイト、もしくはシステム連携用のドメイン名といったこともあり得る。そのようなサイトのドメイン名を知りたい理由は不明だが、確かにそのような目的であれば、DoS攻撃を目的としているわけではないとも思える（とはいえ、大量の問い合わせを浴びせられた側からすれば、攻撃と何ら変わらないことになる）。

　この報告は、NTTコミュニケーションズの神田敦氏ら4名による「ランダムサブドメイン攻撃において事業者として行なった対策と解析について」で行なわれた[*7]。Internet Weekの資料で公開可能なものは半年後ぐらいに公開されることになるため、まだ見ることはできないが、代わりに発表メンバーの一人が書いた自社ブログを紹介する。また、ランダムサブドメイン攻撃について知りたい方に、JPRSがInterop Tokyo 2023の際のミニセミナーの模様を録画した動画も紹介しておきたい。

▼ サブドメイン列挙とはどういうものなのか調べてみた（NTTコミュニケーションズ ENGINEERS' BLOG）
https://engineers.ntt.com/entry/2023/12/02/121544

▼ 権威DNSサーバーを狙った攻撃の影響範囲と可用性を高めるためのポイント～ランダムサブドメイン攻撃を題材として～（JPRS）
https://www.youtube.com/watch?v=Am-gnCdVaH8

[*4] JPRS用語辞典：DoS攻撃（DDoS攻撃）（JPRS）
https://jprs.jp/glossary/index.php?ID=0154

[*5] フルサービスリゾルバーでは、一度名前解決した結果は一定期間保持（キャッシュ）して再利用する。しかし、ランダムなサブドメインが追加された名前はそれまでに検索されていないためキャッシュされておらず、新たに名前解決が実行される。ランダムなサブドメインを重複しないように生成し、これを繰り返せば、キャッシュされていないドメイン名をいくらでも作り出すことができるのである。

[*6]「未熟なDNSと今後どう付き合うべきか　委任／移転通知インジェクション攻撃とDNS Water Torture（Slow Drip）攻撃について考える」（Internet Week 2014、JPRS 森下泰宏、久保田秀）
https://jprs.jp/tech/material/iw2014-lunch-L3-01.pdf

[*7]「DNSDAY」（Internet Week 2023）
https://internetweek.jp/2023/archives/program/c10

■3位インターネット関連の重要な国際会議が日本国内で開催

　3位に選ばれたのは、IETFやIGFといったインターネット関連の重要な国際会議が日本国内で開催されたという話題である。

　IETF（The Internet Engineering Task Force）はインターネット技術の標準化を推進する団体であり、インターネットにかかわるエンジニアにとって標準化の議論をする上で一番重要な場である。また、IGF（Internet Governance Forum）はインターネットに関するあらゆる課題について、国連主催の下、さまざまなマルチステークホルダーが対等な立場で対話を行なうガバナンス系の会合である。

　ご存じのように、インターネットは世界的なネットワークである。さまざまな企業やさまざまな団体が運営するネットワークを相互につなぎ、それらのネットワークが善意に基づき誰のパケットであろうと必要な転送を行ない、相互をつなぐという大前提が欠かせない。だからこそ特定企業が顧客を囲い込むということが難しく、相互に協調することが大切になるのである。

　とはいえ、最近では、アジア太平洋地域のIPアドレスを管理するAPNICの理事選挙において、特定候補を当選させるための不正行為が行なわれたという話題[*8]や、個人情報を抜くために転送するパケットのduplication（複製）を取っている組織があるのではないかといった話題など、特にインターネットガバナンス方面において、それまでのような善意に基づく常識が通じなくなっているのも事実である。

　技術的な面ではさほど心配していないが、インターネットガバナンスについてはもっと多くの人の関心を集めるようにしないと、今後危険な状況になるのではないかという気持ちもある。これまでのような、参加者の善意に基づく牧歌的な常識が通用する世界は、残念ながら急速に少なくなりつつあるように思う。

[*8] APNIC理事選挙を振り返って　～　インターネットの基盤運営機構を守るために（JPNICブログ）
https://blog.nic.ad.jp/2023/8613/

■4位「.com」 3年連続の値上げ

　4位に選ばれたのは、.comのレジストラ向け提供料金が3年連続で値上げされたという話題である。詳細についてはJPRSの記事をご覧いただくのが良いと思うが、「8.97米ドルから9.59米ドルに値上げ」というのは、.comのレジストリであるベリサイン社とICANNとのレジストリ契約（.com Registry Agreement）によって決められている「前年比7％を上限とした料金」ギリギリの値上げである。

　1米ドル=145円で計算すると、9.59米ドルはおよそ1,400円である。ベリサイン社は今年の2月に.netの卸値も10.67米ドルに値上げしており、日本円では1,500円を超える。以前、.comや.netには安いイメージがあったが、毎年の値上げと最近の円安傾向により、最近はそうではなくなってきたかもしれない。

[*9] Verisign Domain Name Industry Brief
https://www.verisign.com/en_US/domain-names/dnib/index.xhtml

■5位 b.root-servers.netのIPアドレス変更

　5位に選ばれたのは、b.root-servers.net（B-Root）のIPアドレス変更の話題である。一般の方々には直接関係ないが、ルートゾーンはインターネットにおけるドメイン名の起点であり、その起点となる（DNSの階層構造の頂点となる）ルートゾーンを提供する権威DNSサーバー群のひとつのサーバーがIPアドレスを変更するということで、DNS関係者にはとても重要な話である。

　ルートサーバーのIPアドレスが変更された場合、フルサービスリゾルバーの設定を変更する必要がある。B-Rootの運用者は切り替えのための猶予期間を少なくとも1年間設けることを表明しており、設定変更はそれまでに実施すればよい。つまり「慌てて実行する必要はないが、1年以内に確実に実行する必要がある」ことになるわけだ。

　使用しているフルサービスリゾルバーがきちんと管理されていれば問題は起こらないと思うが、企業や組織などで古いままのフルサービスリゾルバーがそのまま（ほとんどメンテもされず）動いているケースもあると聞く。これを良い機会として、一度自分自身が使用しているフルサービスリゾルバーの素性と、その管理具合を確認してみてはいかがだろうか。