PhishWall利用サポート
法人向け製品サポート
パートナー様向けログイン

CSS 2022で最優秀論文賞を受賞した論文のご紹介

CSS 2022で最優秀論文賞を受賞した論文のご紹介

10/24-27に熊本城ホールとオンラインのハイブリッドでCSS 2022が開催されました。

CSSは、コンピューターセキュリティシンポジウムのことで、国内で開催される学術系のセキュリティイベントとしては、最大級のモノの一つです。

セキュアブレインからも研究発表に加えて、CSSのワークショップの一つであるMWS(マルウェア対策研究人材育成ワークショップ)のプログラム委員や企画委員といった立場でお手伝いをさせて頂いています。

今回は、CSS 2022で最優秀論文賞を受賞された2つの論文のうち下記の論文について簡単にご紹介させて頂きたいと思います。

タグ・オブ・ザ・デッド: 死んだSaaSのタグがゾンビになるとき
〇 坂本 一仁 (株式会社DataSign), 室園 拓也 (株式会社DataSign)
https://www.iwsec.org/css/2022/award.html

かなり、キャッチーなタイトルですが、内容も素晴らしい論文です。以下に論文の概要をご紹介しますが、論文の本文をお読みになりたい方は、しばらくすると情報学広場においてCSS 2022の論文が購入可能になると思いますので、ご参照ください。
https://ipsj.ixsq.nii.ac.jp/ej/

この論文では、サイトにJavaScriptなどを読み込むタグを埋め込んで利用するタイプのSaaS(Software as a Service)で利用されているドメインが、SaaS提供者のサービス停止、廃業などで利用されなくなった後に、どの様になっているのかについて調査した結果を報告しています。

まず、著者らは、複数のサービス終了したSaaSが存在することを明らかにしています。また、サービス終了したSaaSのタグ内で利用されているドメインについて調査を行った結果、一部のドメインが第三者によって攻撃に利用されていることや、誰でも取得可能な状態にあることを明らかにしています。さらに、国内のWebサイトに対して、クローリングによる調査を行い、サービス終了したSaaSのタグが残置された状態のサイトが複数存在すること明らかにしています。当然ながら、これらの残置されたタグには、前述の第三者によって攻撃に利用されているものや、誰でも取得可能な状態にあるものが含まれます。

著者らが、この問題を研究するに至ったきっかけとして、論文内でVisionalistというアクセス解析のSaaSがサービスを終了した後にドメインが悪用された事例を挙げています。(https://engineers.ntt.com/entry/2022/06/07/101505 )

Visionalistのサービス終了においては、利用者への通知など適切な対応を行ったにも関わらず、利用者によるタグの残置が発生してしまったことが報告されています。

ここからは、ブログ筆者の感想です。
Webサイトにサービス終了したサイトのリンクやSaaSのタグが適切に管理されずに残置されるといった状態は、日常的では無いにせよ、稀有というほど特別なことはなく、インターネットを利用していれば、過去に1度ぐらいは目にしたことがあるのでは無いでしょうか。

この論文から得られる最も大きな教訓は、Webサイトの管理・運営を行う上で、Webサイトで利用しているSaaSなどの外部ドメインの管理を適切に行う必要があるという点です。利用しているサービスの終了などがあった際には、速やかにタグを削除する必要があると著者らも述べています。

終了したSaaSのタグを残置することで、自組織のWebサイトの健全性が失われ、マルウェア感染、入力情報やCookie情報の窃取、悪性サイトへの転送など、Webサイト利用者に対して被害を及ぼす攻撃のための場所(水飲み場)として利用される可能性があります。本ブログの読者の方には、自組織のWebサイトの管理・運営に携わっている方が多くいらっしゃると思います。ご利用されているSaaSのタグの適切な管理にはくれぐれもご注意ください。

また、著者らは、SaaSを提供する事業者が行うべき対策として、サービス終了後も利用者によってタグがすべて削除されるまでは、ドメインを破棄しない必要があると述べています。

これも非常に重要かつ当然の対策です。SaaSの提供事業者の方には意識していただきたいと思います。その一方で、Visionalistの事例のようにサービス終了時に適切な対処を行っていても悪用されてしまった事例を考えると悩ましい面があります。また、栄枯盛衰が激しい昨今のビジネスシーンにおいて廃業というケースも稀ではなく、管理者が存在しなくなるというケースについても議論が必要と考えます。この論文が今後のドメイン管理に関する議論を深めるきっかけの1つになって欲しいと考えています。

最後に、サービス提供者とWebサイトの管理・運営者の双方が適切に連携してWeb全体の健全性を保つ必要があると考えます。まずは、自分の足元の自組織のWebサービスの健全性を適切に保つことがスタートです。月並みですが、ブログ筆者のまとめを述べて終わらせていただきます。

なお、セキュアブレインは、該当論文の内容には一切関与しておらず、ブログ筆者が一論文の読者としてまとめた感想です。論文の内容に関するご質問、ご指摘にはご対応致しかねますのでご容赦下さい。