ドメインドロップキャッチの手口と対策

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2022年5月19日
• タイトル：ドメインドロップキャッチの脅威と対策
• 発表者：データサイン 取締役CPO（Chief Product Officer） 坂本一仁

破棄されたドメインを取得して悪用する手口

2020年7月に終了したアクセスログ解析サービス「Visionalist」。こちらのサービスで利用していたドメインを2022年5月に第三者が再登録し、セキュリティ上問題があるスクリプトを設置している可能性が確認されました。当時サービスを提供していたNTTコム オンライン・マーケティング・ソリューション（以下、NTTコム オンライン）が注意を呼びかけています。こちらの出来事に関連した話題をデータサイン 取締役CPO 坂本一仁が取り上げました。

Visionalistはビーコン型のアクセス解析サービスです。サービスのユーザーはあらかじめ自社のウェブサイトなどにタグ（〇〇〇〇〇.jpなどのドメインを指すリンク）を埋め込んでおきます。タグが埋め込まれたサイトに訪問者がアクセスすると、タグを介して計測用スクリプトが、当該ドメインから訪問者のブラウザにダウンロードされ、ブラウザ上でスクリプトが実行されます。実行結果はアクセスログとして、タグが示す当該ドメインに送信されます。

このドメインはVisionalistがサービスを終了した後、2022年4月30日に期限を迎え、先着順による登録が可能な状態となりました。それから間もない2022年5月5日に（NTTコム オンラインではない）第三者がこのドメインを再度登録しました。その後、不審なスクリプトが配置されていることが発覚しました。

悪意あるドメインドロップキャッチに注意

「登録を解除されたドメインが破棄（Drop）されたタイミングで、第三者が取得（Catch）することをドメインドロップキャッチと呼びます。ただ、ドメインの申請、登録、破棄、また第三者による取得は、適正な手続きを経ていれば何ら問題なく自由に行えます。価値の高いドメインを取引するためのオークションサイトも存在します」（坂本）

問題なのは、旧サイトにそっくりなフィッシングサイトを作成して、ID/パスワードやクレジットカード情報を盗み取るといった犯罪に巻き込まれる危険です。また、タグを介して悪意あるスクリプトを配信し、サイト訪問者のブラウザのCookie情報や画面入力情報を密かに取得するオンラインスキミングの脅威があります。

使わないドメインは残してもタグはサイトに残さないで

冒頭述べたVisionalistの事案では、不審なスクリプトを配置されたドメインは、2022年5月17日に、ドメイン名とIPアドレスを対応付けるデータベースを管理するDNSサーバ（権威DNSサーバー）から、紐付け情報が削除されたことが確認されました。これにより当該ドメインはどこにもつながらない（＝名前解決のできない）状態に移行しました。その翌日には、NTTコム オンラインから注意喚起を促すニュースリリースが発表されました。

「今回、弊社からNTTコム オンラインに対し、当該ドメインが接続する外部サービスに関する情報提供をさせていただきました。皆さんの企業・団体でも既存サービスを停止する際には、ドメインが悪用されるリスクを避けるため、安易に破棄せずに保持していたほうが望ましいしょう。ドメインを維持継続する費用はさほどかかりません。一方、不要なタグは削除しましょう」（坂本）

なお、NTTコム オンラインのニュースリリースには、「お客様のサイトに“tracer.jp”タグが残置されている場合、そのタグをサイトより削除いただくようお願い致します」という一文があります。

ただし、大規模なウェブサイト全体のどこに当該タグが埋め込まれているか、くまなくチェックすることはたいへんかもしれません。そんなときは、データサインが提供する「ｗebtru（ウェブトゥルー）」を用いるとサイトに埋め込まれたタグを一覧化することができます。さらにプロ版を用いると、ブラウザが不審な通信先へアクセスすることを、ウェブサイト運営者がブロックすることが可能です。

今回の出来事から得られる教訓は「ドメイン残してタグ残すな」。皆さんもこの機会にドメインのライフサイクル管理や、サイトに埋め込まれたタグの状況をチェックしてはいかがでしょう。