コンピュータセキュリティシンポジウム2022 最優秀論文

コンピュータセキュリティシンポジウム2022 最優秀論文

2023年6月22日

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2022年11月10日
  • タイトル:コンピュータセキュリティシンポジウム2022 最優秀論文
  • 発表者:データサイン 取締役CPO 坂本 一仁

2つの大規模調査の結果を発表

2022年10月に開催されたコンピュータセキュリティシンポジウム(CSS)2022において、弊社取締役CPO(Chief Product Officer)の坂本一仁が、SaaSタグのセキュリティに関する論文を発表し、CSS2022最優秀論文賞を受賞しました。「タグ・オブ・ザ・デッド: 死んだSaaSのタグがゾンビになるとき」と題する論文のポイントを坂本が解説しました。

2020年7月に終了したアクセスログ解析サービス「Visionalist」で利用していたドメイン(tracer[.]jp)を2022年5月に第三者が再登録し、セキュリティ上の懸念があるスクリプトを設置している可能性が確認されました。弊社坂本も関係各所と連携しセキュリティ対応に協力した経緯は、2022年5月19日配信のランチタイムトーク「ドメインドロップキャッチの脅威と対策」でもお伝えした通りです。

本論文では、Visionalistのような事象がどの程度起こり得るかという観点から、2つの大規模な調査を行った成果をまとめました。その調査とは、

  1. ドメイン調査
    サービス提供を終了したSaaSのタグで利用されていたドメインの現状を調査するもの
  2. ウェブサイト調査
    終了したSaaSのタグがウェブサイトにどれだけ放置されているかを調査するもの

です。

実サイトでの悪質な挙動(ゾンビ化)が観測される

本論文で登場する「ゾンビ化」とは、サービス提供を終了したアクセス解析サービスなどのSaaSのタグのドメイン登録が、サービス提供事業者により廃止された後に、不明な第三者によって再取得され、タグが残るウェブサイトに不審なスクリプトを配信することを表しています。サービス提供が終了した(死んだはずの)SaaSのタグが再び動き出す、あたかも「蘇る」ように見受けられることが理由です。

ドメイン調査では、データサインが運用管理する独自のSaaS情報データベース(登録SaaS数1400件超)のうち、49の終了したSaaSのタグで利用されていた53ドメインの行く末を調べました。その結果、53ドメインのうち、15ドメインが取得されている状態(すでに第三者に再登録されて利用されている、または悪用されている状態)であり、3ドメインが破棄されている状態(誰でも取得可能な状態、またはドメイン登録事業者が保持している状態)であることを観測しました。

一方、ウェブサイト調査では、2022年6月22日から30日までの間に、国内事業者が運営する約115万ウェブサイトに「死んだタグ」が放置されていないかどうかを弊社プロダクト「webtru」(ウェブトゥルー)でクローリング調査しました。その結果、26の死んだSaaSのタグが約18,000ウェブサイトで発見されました。その中にはドメイン調査で触れた、第三者に取得されたドメインに含まれる7つのドメインが、タグとして実サイトに存在していることが判明。さらにその3ドメインで悪質な挙動(ゾンビ化)が観測されました。

ゾンビ化への対処法

「ドメイン調査で判明した破棄された3ドメインについては、新たな攻撃の起点にならないよう安全確保のために筆者らが取得しました。またウェブサイト調査で明らかになった死んだSaaSのタグについては、運営事業者が分かったところについては『導入先へのタグ削除をアナウンスしてください』と連絡するように促しました」(坂本)

またJPRS(日本レジストリサービス)とIPA(情報処理推進機構)へも情報提供をしました。

「ただし、SaaS事業者がすでに廃業してしまっているような場合には連絡を取ることができません。その際は、そのSaaSタグが残存しているウェブサイトについて、運営者の問い合わせ先などがわかるものは、筆者らからタグ削除に関する連絡を入れました」(坂本)

本論文の結果は、今後も終了したSaaSのタグに関するセキュリティ上の懸念が継続的に発生することを予想するものです。セキュリティ対応のためには、SaaS事業者の適切なドメイン管理と、ウェブサイト管理者のタグ管理の徹底が求められます。

「放置すれば、当該ウェブサイトへの訪問者が知らないうちに、広告費を詐取するアドフラウドなどの片棒を担いでしまっている、といった事態を招く可能性があります」(坂本)

弊社データサインでは、法人向けプライバシーテック・スイートwebtruにより、ウェブサイトやアプリで利用されている外部サービスの管理ソリューションを提供しています。事態の改善に向けて今後とも努めてまいります。

毎週配信|視聴登録はこちら

関連記事

ドメインドロップキャッチの手口と対策
すべての記事を見る

お問合せ