ドメイン名レジストリから見たフィッシング対策についてその内容を紹介します。
1.はじめに
平成20年度第1回情報共有WGにて「ドメイン名レジストリから見たフィッシング対策」について株式会社日本レジストリサービス(以下JPRS)取締役企画本部長堀田博文氏より講演いただきました。今回その概要を紹介いたします。
2.ドメイン名レジストリとは
(1)レジストリ・レジストラとは
まず関連する用語を整理します(図1参照)。
・ドメイン名: URL(ホームページのアドレス)やメールアドレスなどの一部分として使われており、インターネット上のコンピュータを識別するための名前です。
・レジストリ: ドメイン名を管理するデータベースの管理やアクセス手段の整備などを行なう管理組織のことをレジストリと呼びます。
・レジストラ: ドメイン名の登録申請を受け付け、その申請をレジストリに取り次ぐ組織をレジストラと呼びます。
(2)ドメイン名レジストリ
ドメイン名のうち「.com」、「.org」、「.jp」などで終わる各トップレベルドメイン(TLD)に1つの管理組織(レジストリ)が対応しており、それら各々をドメイン名レジストリといいます。「.jp」で終わるドメイン名はJPRSが管理しています。つまりJPRSは「.jp」に対するドメイン名レジストリと言うことになります。
ドメイン名レジストリの役割は次の2つです。
・レジストリデータベースの管理
・ネームサーバの運用
レジストリデータベース管理業務は、ドメイン名登録者の代理として登録申請等をレジストリに取り次ぐレジストラと協力して行なわれます。レジストラは、JPドメイン名の場合「指定事業者」と呼ばれます。
出所:「ドメイン名レジストリから見たフィッシング対策」,JPRS,2008年7月22日
図1 レジストリデータベース管理業務
レジストリデータベース管理業務に付随するサービスとしてwhois情報の管理提供があります。 whoisサービスではドメイン名で検索をすると、個々のドメイン名の登録日や、登録期限、登録者、ネームサーバの名前などが表示されます。これらの表示項目は、TLD毎に若干異なっています。
また、ドメイン名レジストリのネームサーバ運用業務は、登録されたドメイン名をインターネット上で利用可能にするものです。ISPや登録者のネームサーバと連携して、ドメイン名をIPアドレスに変換します。
なお、ドメイン名レジストリはドメイン名の文字列の意味や利用方法に関与しません。ただし、例えば「○○.co.jp」というドメインについては、登録申請が行われるとそれが日本の会社であるか等の審査を行っています。しかし、商標が他社によりJPドメイン名として使われていた場合等の問題は、DRP(ドメイン名紛争解決方針)等により別途解決していただくことになります。
3.フィッシングとドメイン名の関係
これまでJPRSが受け取ったフィッシング対応依頼数を図2に示します。2006年10-12月期には月に10件以上の依頼件数がありましたが、その後は1桁代で推移しています。
出所:「ドメイン名レジストリから見たフィッシング対策」,JPRS,2008年7月22日
図2 JPRSが受け取ったフィッシング対応依頼数
フィッシィングの指摘があった場合におけるJPRSの対応は次の3段階で行われます。
①フィッシングサイト等の発見者から申告 (報告)を受付ける
②当該ドメイン名レジストラに連絡をし、対応を依頼する
③②で解決できない場合、当該ドメイン名の登録者にメールや文書により通知する
これまで起きたフィッシング事象の指摘に関しては、上記②の段階までで終了しており、この段階までに、ほぼすべてのフィッシングサイトが停止(テイクダウン)されています。これらのテイクダウンが行われた契機がJPRSからの指摘によるものか別組織(JPCERT/CC等)の働きかけによるものかは不明です。テイクダウンに至る代表的な要因は次の通りです。
•Webを乗っ取った者によって引き起こされたフィッシングの場合、ユーザ(Webページの管理者等)に連絡すれば、適切な対処をして正しいWebに置き換えられる
•ISPやWebホスティング事業者が、そのユーザに連絡しようとして、実在しない虚偽ユーザであることが発覚する
•ISPやWebホスティング事業者が顧客と交わしている契約の中に「不適切なコンテンツは削除する」との条項があり、それに抵触したとみなされ、対応(テイクダウン等)が行われる
4.ドメイン名レジストリに関連したフィッシング対策
(1)ドメイン名のアクセス停止
フィッシングに使われたドメイン名をアクセスできないようにする対策手段もありますが、その実現は次の要因により限界があります。
・悪意性の判断ができない
・レジストリはドメイン名の文字列の意味やその使用方法には関与しない(DRPを除く)
・レジストリがレジストラの頭越しにドメイン名を使用停止とすることは適切でない
・一つのドメイン名が複数のURLやメールアドレスに使われている場合、ドメイン名を使用停止にすることによって、悪質なもの以外の通信も不通になる可能性がある
・効果が限定的(ドメイン名の使用停止してもドメイン名情報がDNSサーバのキャッシュにしばらく残存したり、同時に多くのドメイン名を使用するフィッシング手口が用いられるとすべてのドメイン名を突き止め無効にするまでは完治とはならない場合などがある)
(2)JPドメイン名諮問委員会答申
JPRSは、JPドメイン名登録管理業務の公平性および中立性を保つために「JPドメイン名諮問委員会」を設けています。本委員会は、JPRSのJPドメイン名登録管理業務の公平性および中立性に関する事項について、勧告およびJPRS取締役会の諮問に対する答申を行います。また、必要に応じて、本委員会がJPRS取締役会に説明を求めることもできるものです。JPRSは、諮問委員会による勧告、答申の趣旨を最大限尊重しなければならないことになっています。
ドメイン名のアクセスを止める方法の対応には(1)のような課題があり、その対応方法をこのJPドメイン名諮問委員会に諮問した結果として、次のような勧告を受けています。
・JPRSは、ドメイン名の文字列や使い方の妥当性を自ら判断することによりドメイン名を使用停止にすることはせず、指定事業者の協力を得て対処することが適切である。
・個別フィッシング事象への対策を判断する機関の設立を関連機関と検討し、その判断によりドメイン名の使用停止をする仕組みを検討すること。
この諮問委員会の勧告内容はJPRSのホームページにて公開されています。
http://jprs.co.jp/advisory/00/JPRS-ADVRPT-2007001.pdf
(3)JPCERT/CCとの協力
JPRSはJPCERT/CCとフィッシング対策に関し協力体制を構築しており、JPCERT/CCと情報共有しつつ、「2.」に述べたようにJPRSはドメイン名レジストラに通知を行います。\
以上