tike blog

セキュリティで気になった事をダラダラと。

JPドメインの悪用について

 

 

 

はじめに

 

 

 

世の中に数多く存在するWebサイトを閲覧する際、トップレベルドメイン(TLD)でその安全性を確認するという方は多いのではないでしょうか。

検索サイトにキーワードを打ち込み、数ある検索結果の中から目的の情報に近いWebサイトを探す過程で、JPドメインのサイトには安心してアクセスできると考えるのは私だけではないと思います。

JPドメインレジストリであるJPRS(株式会社日本レジストリサービス)も、JPドメインは世界一安全であると訴えています。

 

 

f:id:tiketiketikeke:20190421222712p:plain

世界一安全な.jp / JPRS

 

 

この中で、JPドメインの安心感の根拠として以下のように述べています。

 

 

f:id:tiketiketikeke:20190421223133p:plain

世界一安全な.jp / JPRS

 

 

  • 「.jp」を登録するには日本国内に住所を持っていることが条件
  • 所在のはっきりした日本サイトだとアピールできる

という点を安心感の根拠として挙げています。

 

 

しかしながら、私を含めてJPドメインが安全だと考えているインターネットユーザの心理につけ込み、不正行為に使用する目的でJPドメインを登録する連中が少なからず存在します。

 

 

本記事では、JPドメインの悪用の事例をいくつかご紹介したいと思います。

 

 

 

 

【悪用事例1】気象庁のなりすましメール

 

 

 2018年11月、気象庁からの緊急警報を装ったなりすましメールが配信されたとして、同庁が注意喚起を行いました。

 

 

piyolog.hatenadiary.jp

 

 

このなりすましメールに記載された不審なリンクには以下のJPドメインが使用されていました。

 

 

 jma-go[.]jp

 

 

不審なリンクにアクセスすると、マルウェアがダウンロードされるという話もありました。

 

このドメインWhois情報を見てみたいと思います。

 

 

f:id:tiketiketikeke:20190421224613p:plain

 

 

[公開連絡窓口]に記載された住所を確認したところ、ロシア サンクトペテルブルク近郊の町を示しているようでした。

 【掲載情報に誤りあったため訂正 (2019/4/22)】

 

 

f:id:tiketiketikeke:20190422090322p:plain

 

 

明らかに日本国内には存在しない住所であり、「所在のはっきりした日本のサイト」とは言い難い内容です。

 

 

 

【悪用事例2】フィッシングサイト

 

 

JPドメインは、国内を標的としてフィッシング詐欺を行う連中が好んで使用します。

例えば、Appleのフィッシングサイトでは、以下のようなjpドメインが使用されています。

 

 

f:id:tiketiketikeke:20190421225723p:plain

 

 

これは特定の人物の名義で4月の10日余りの期間で登録されたドメイン名の一覧です。

これらのドメインは、以下のようなAppleのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421230214p:plain

 


同種のフィッシングサイトを公開する目的で登録されたドメインの名義人は、私が確認しているだけでもこの他に十数件存在します。
実際には他にも多数存在すると思われ、日々ドメインの量産が行われています。

 

 

もう一つの事例として、Amazonのフィッシングサイトで使用されるJPドメインをご紹介します。

 

account-update-amazon-com[.]jp

 

f:id:tiketiketikeke:20190421230805p:plain

 

 

account-update-amazon[.]jp

 

f:id:tiketiketikeke:20190421231012p:plain

 

 

何れも、登録者の日本語表記と英語表記が全く一致していません。

英語表記の "HARUNA UBUKATA" に対して、日本語の登録者名は "央区 池袋"、"天神 直子" と記載されています。

 

 

これらのドメインは、以下のようなAmazonのフィッシングサイトを公開する目的で登録されています。

 

 

f:id:tiketiketikeke:20190421232239p:plain

 

 

さらに、悪用の事実は確認できていませんが、Amazonのキーワードを含むドメインの登録情報をご紹介します。

 

amazon-shop[.]jp

 

f:id:tiketiketikeke:20190421231618p:plain

 

 

公開連絡窓口の住所には「長野県」という日本語表記はあるものの、アルファベットで名古屋市を示す住所が続いています。

名古屋市の住所も番地等を示す情報はなく、正確ではありません。

 

 

何れも虚偽の情報ではないかと思わせる登録情報です。

 

 

 

【悪用事例3】詐欺サイトへの誘導を行うサイト

 

 

続いては、偽物のセキュリティ警告を表示するサイトを始めとして数々の詐欺サイトへの誘導を行うJPドメインです。

 

 

これは、現存する国内の企業のドメイン名をGoogleで検索した結果を抜粋したものです。

 

 

f:id:tiketiketikeke:20190421233150p:plain

 

 

一見すると、以前当ブログでも何度か取り上げた偽ECサイトに誘導するコンテンツに見えますが、実はこのコンテンツの中には、偽ECサイトよりもさらに悪質なサイトに誘導する仕掛けがありました。

 

 

コンテンツのソースを確認すると、あるjsファイルが読み込まれています(赤線部分)。

 

 

f:id:tiketiketikeke:20190421234020p:plain



このjsファイルを読み込むと、以下のドメインにリダイレクトされます。

 

 

bags.luxzone[.]jp

 

 

このドメインにアクセスすると、さらに以下のドメインに誘導されます。

 

 

ww25.bags.luxzone[.]jp

 

 

上記ドメインは、ユーザを複数の詐欺サイトに誘導しますが、その中の一つとして、偽ウイルス警告画面を表示するサイトへの誘導が確認できています。

 

 

 

f:id:tiketiketikeke:20190421235102p:plain

 

 

 

このような詐欺サイトへの誘導を行う luxzone[.]jpドメインの登録情報を見てみます。

 

 

f:id:tiketiketikeke:20190421235419p:plain

 

 

公開連絡窓口として、NETIMという名称、tld@netim.com というEmailアドレスが登録されています。

このNETIMとは、フランスのドメインレジストラなのだそうです。

 

 

www.netim.com

 

 

電話番号には、おそらく国内には存在しないと思われる「013」から始まる「11桁」の番号が登録されています。

この「013」を「03」と無理やり読み替えると、日本語表記の住所に存在する某企業の電話番号と一致しました。

こちらは「インターネットを利用した各種情報サービスを提供する」国内の事業者なんだそうです。

 

 

公開連絡窓口としては、安心感に欠ける内容です。

 

 

 

まとめ

 

 

JPドメインの悪用について事例をご覧頂きましたが、冒頭でご紹介したJPドメインの安心感の根拠とは少し異なる性質のドメインが登録され、今もなお増え続けているというのが現状です。

 

 

先日も大学や学校法人のみが取得可能な属性・地域型ドメインを個人が取得し、全く異なる用途に使用していたことが明るみになりました。

 

 

tech.nikkeibp.co.jp

 

 

業務プロセスにミスがあったことをJPRSは認めており、ただただ改善を求めるばかりですが、このドメインが今もなお有効な状態を維持しているという点については非常に疑問を感じています。

ネームサーバを削除することで対応完了としているようにも見受けられますが、条件を満たしていない個人が属性・地域型ドメインを今もなお持ち続けているという状況は改善すべきだと思います。

 

(2019/4/24 追記)

4/22に当該ドメインが Deleted (廃止されているドメイン名)となっていることを確認しました。

 

f:id:tiketiketikeke:20190424155641p:plain

 

ご対応頂きありがとうございました。

(2019/4/24 追記おわり)

 


更に疑問に思うこととして、ドメイン名義の日本語表記とアルファベット表記が異なったり、住所が正確でなかったり、海外の住所であったり、正確でない登録情報を持つJPドメインが存在することです。

 

 

このような虚偽の登録情報は認められるものなのでしょうか。

 

 

このような状態が続くと、世界一安全とされるJPドメインの安全性、信頼性に傷を与えかねません。

 

 

JPRSや各レジストラの皆様には、虚偽の登録情報を検出し、そのようなドメインに対しては、ドメイン凍結等の対応を行うなど、何らかの対策を打って頂きたいと思います。

 

 

最後までご覧いただきありがとうございました。

 

 

 

以上 

 

 

更新履歴
2019年4月22日 初版作成
2019年4月22日 jma-go[.]jpの公開連絡窓口に関する情報を修正
2019年4月24日 山梨医科大学ドメインに関する記述を修正。当該ドメインが廃止状態となったことを追記