早稲田大学の教育・研究・文化を発信 WASEDA ONLINE

RSS

読売新聞オンライン

ホーム  > オピニオン  > サイエンス

オピニオン

▼サイエンス

森 達哉(もり・たつや)/早稲田大学 基幹理工学部 教授 博士(情報科学)  略歴はこちらから

東京五輪の裏で起きていたドメイン名取得狂想曲と顛末

森 達哉(もり・たつや)/早稲田大学 基幹理工学部 教授 博士(情報科学)
2021.10.25

 2021年8月から9月にかけて、東京2020オリンピック・パラリンピック(以下、東京五輪)が開催されました。オリンピックのような世界的に注目が集まるイベントでは、大規模なサイバー攻撃の脅威が懸念されますので、その対策に向けた準備も時間をかけて入念に行われてきました。幸い、目立った攻撃被害は報告されませんでしたので、関係者は一安心といったところかと思います。

 表舞台では大きな事件はおきませんでしたが、裏舞台では、東京五輪の「ドメイン名」に関して、様々な動きがありました。特に今回の五輪は会期を1年間延期するという未曾有の事態となりましたが、五輪ドメイン名事情にも影響が及びました。ドメイン名とは、インターネット上で提供されるサービス、例えばウェブにアクセスする際の識別名として使われるものです。東京五輪の公式サイトは tokyo2020.org というドメイン名を使っていました。チケットを予約されたり、公式情報を収集する際に、このドメイン名をみかけた、あるいはご自身の手でドメイン名を入力された方がいらっしゃるかと思います。

 東京五輪の公式サイトは、当初ドメイン名として tokyo2020.org を使うことを宣言しましたが、実際の運用としては、その他のドメイン名である tokyo2020.jp や olympics.com が並行して使われました※1。2021年10月現在(執筆時)は、tokyo2020.jp にアクセスした後、「ショップ」をクリックすると tokyo2020shop.jp という別のドメイン名にアクセスすることになります。このように、いわゆる東京五輪組織委員会が運営する公式サイトだけでも4種類のドメイン名があり、これらのドメイン名を正確に記憶することは難しいかもしれません。

 ドメイン名は実社会におけるサービスの名前や、企業や組織の名前を反映してつけられますので、我々の意思決定にも関わってきます。例えば、yomiuri.jp というドメイン名を見れば、これは讀賣新聞社のドメイン名であろうと判断することができます。讀賣新聞社のドメイン名であることがわかれば、一般的な社会通念と合わせ、アクセスしても問題はないであろうと判断することができます※2。では、yomiur1.jp というドメイン名はどうでしょうか?これは注意深く見ないと見逃してしまうのですが、正規の yomiuri に対して、最後の i が数字の1に置換されています。もし悪い人がそのようなドメイン名を使って、偽サイトを運営していたら、騙されてしまう人が出てくるでしょう。そのような手口をフィッシング攻撃と言います。

 一般に偽のドメイン名を用いたフィッシング攻撃は、電子メールやSMSにおける「成りすまし」と合わせて実行されます。フィッシング攻撃を防ぐ際に重要となるのは、正しい情報を、信頼できるルートから得ているかという点です。成りすましや偽ドメイン名はそのような判断を惑わせる手口ですが、対策としては、フィッシング攻撃の可能性があるサイトを自動で検出するツールを使ったり、「公式のドメイン名」に関する事前知識を得ていたりすることが肝要です。

 さて、東京五輪のドメイン名の話に戻りましょう。先に述べたように、東京五輪の公式ドメイン名は1つではなく、また tokyo2020 という文字列が含まれている以外は、共通のルールがありません。したがって、公式ドメイン名を正確に記憶することは、万人にとって簡単なことではないでしょう(例えば tokyo2020[.]com は公式サイトではありません)。さらにドメイン名取得は、基本的に先願主義によって運用されています。既に取得されていない限り、誰もが任意のドメイン名、例えば "tokyo2020-ticket" などの文字列を含むドメイン名を取得できます。

 このような背景の下、我々の研究のグループでは、2019年5月に、東京五輪公式サイトのドメイン名に類似したドメイン名(以下、「類似ドメイン名」)の調査を実施しました。類似ドメイン名はあくまでも字面が似ているドメイン名ということで、それらのすべてがフィッシング攻撃に利用される「偽ドメイン名」とは限りません。約2.4億件のインターネットドメイン名を対象とし、文字列として tokyo2020 を含む類似ドメイン名を調査しました※3

 調査の結果、956件の類似ドメイン名が存在することが明らかになりました。956件の大多数は、後にサービスを提供することを目的として登録したと考えられるドメイン名(tokyo2020-travel や tokyo2020-ticket のような文字列を含むもの)、あるいはそのようなドメイン名そのものが後に値上がりすることを見越して、投機的に登録されたと考えられるものでした。一方、VirusTotal と呼ばれる悪性サイト検出サービスを使った検査では、22のドメイン名が悪性判定、あるいは要注意なドメイン名であることが判明しました。その時点では、これらのドメイン名はアクセスできない状況にありましたが、類似ドメイン名を使ったフィッシング攻撃の可能性を示唆する証拠として、注目すべき結果でした※4

 2019年5月の調査は単発で実施しましたが、2020年1月以降、類似ドメイン名の調査を継続しました。その結果が以下の図です(途中、2020年5月から10月にかけて、データを観測ができていない期間がありました)。

waseda_1025_img1.jpg

類似ドメイン名登録数の推移※5

 ここで注目する点は、以下のとおりです。2020年2月頃から顕著となった COVID-19 の影響を受け、2020年3月24日には東京五輪延長方針が合意されました。同時期に、大量の類似ドメイン名の登録が観測されました。特に 4 月 6 日には 467 件の登録があり、この内321件は2021という文字列を含んでいたため、1 年の延期を受けた投機目的のドメイン名登録であった可能性が高いと考えられます。実際には tokyo2021 というドメイン名が新たに公式サイトに使われることがなかったのは周知のとおりです。その後はデータが取得できていない期間が半年ほど続きましたが、類似ドメイン名の登録数は 2,000 件弱で推移しており、大きな変化はありませんでした。

 2021年1月以降は,より網羅的なデータ収集方法に変更したため、観測できた件数にギャップが生じていますが、基本的に登録数のトレンドには大きな変更はなく、登録から1年の期限を迎えたドメイン名が徐々に登録削除となっていきました。そして、大会開催 3 週間前の 7 月頃から、類似ドメイン名の登録が増加傾向に転じました。とくに 7 月 9 日に顕著な増加があり,東京五輪の開催期間である 2021 年7 月 23 日 (開会式当日) から 2021 年 8 月 8 日 (閉会式当日) までの 17 日間でも若干の増加が認められました。大会期間に新規登録された類似ドメイン名の内、9 件が悪性判定され、その内の 3 件は五輪サッカーのカードゲームを装ったフィッシングサイトでした。

 類似ドメイン名の内、VirusTotal によって悪性判定されたドメイン名の数を集計した結果を以下の図に示します。

waseda_1025_img2.jpg

悪性判定された類似ドメイン名数の推移※6

 悪性サイトは観測期間を通じて増減を繰り返しましたが、全般的な傾向としては緩やかな増加傾向にありました。そして、大会開催が近づいた 7 月以降急激に増加しました。多くの悪性判定サイトは、オリンピックの動画配信やライブ配信サイト、スポーツに関する情報を提供するサイトを装うものでした。実際、84 件の悪性判定サイトの内、21件はライブ配信関連でした。下記はそのようなライブ配信関連を装った悪性サイトの事例です。

waseda_1025_img3.jpg

悪性判定された類似ドメイン名の例※7

 以上で見てきたように、東京五輪の裏側では、非常に多くの類似ドメイン名が取得され、その内の無視できない件数が悪性サイトの運用に利用されていました。ここで得られる教訓は2つあります。1つは、オリンピックのように、世界中の人が注目を集めるイベントに関するドメイン名の運用者は、公式のドメイン名として統一されたものを、一貫性をもって運用することが望ましいということです。冒頭で示したように、東京五輪の場合は複数の公式サイトのドメイン名がありましたので、公式情報を判断する上で迷いを生じさせる要因となっていました。2つめはフィッシング攻撃に対する、抜本的な対策技術を開発することの必要性です。一般のユーザが公式ドメイン名のことを知っていたとしても、対策として完全とは言えません。ドメイン名が先願によって取得され、後に価値が高まることを期待した投機対象となる性質を持つ以上、ドメイン名のみを元に完全な判断をすることは困難です。誰もが正しく真贋性を見極められるような技術の研究開発が求められています。


※1 2021年10月7日以降、https://olympics.com/tokyo-2020/ は東京五輪組織委員会から、国際オリンピック委員会(IOC)に移管及び継承されました。
※2 必ずしもすべてのケースでそうであるとは言い切れないので、要注意です。
※3 調査結果は次にまとまっています。 https://nsl.cs.waseda.ac.jp/tokyo2020/
※4 報道例 https://www.nikkei.com/article/DGXMZO53182520Q9A211C1EA1000/
※5,※6,※7 「河岡、千葉、渡邉、秋山、鈴木、森、"東京2020オリンピック公式ドメイン名に対する類似ドメイン名の実態調査"情報処理学会コンピュータセキュリティシンポジウム2021」より

森 達哉(もり・たつや)/早稲田大学 基幹理工学部 教授 博士(情報科学)

企業での研究員を経て、2013年より現職。理化学研究所革新知能統合研究センター客員研究員、情報通信研究機構招へい専門員を兼任。

ハードウェア、ネットワーク、ソフトウェア、人間等、幅広い対象の情報セキュリティ・プライバシーに関する研究に従事する。Emerging Technologyを対象とした近未来の世界におけるセキュリティ・プライバシーに関わる諸問題の研究、および異分野の領域を融合する学際的な研究に強い関心を持つ。

研究室ウェブサイト: https://seclab.jp/