内閣府主催のセキュリティイベント公式サイトのドメインが失効、出会い系宣伝サイトに使われる 58
ストーリー by hylom
マニアックなドメインでもSEO目的なら気にされず 部門より
マニアックなドメインでもSEO目的なら気にされず 部門より
2015年に開催された内閣府主催のセキュリティ関連イベント「Cyber3 Conference Okinawa 2015」の公式サイトとして使われていたドメイン「cyber3conf-okinawa2015.jp」が失効後に第三者に取得され、出会い系サイトの広告に使われていることが判明した(Securrity Next)。
同ドメインは国内・海外の複数のサイトからリンクされており、コンテンツへの誘導目的でドメインが取得され使われていると思われる。
斎藤氏の実績作り (スコア:5, 興味深い)
sradでもストーリー(内閣府などで「セキュリティ専門家」として非常勤参与を務めていた人物に対し経歴詐称の疑い [security.srad.jp])になった、斎藤氏がブログの反論で自分がセキュリティ専門家であるという根拠としてあげているのが、Cyber3の立ち上げ&座長を務めた事です。
> その成果の一端が、日本で3年も連続して開催されたサイバーセキュリティの国際会議「Cyber3」を立ち上げ、
> その座長を務めさせていただいたことであり、その責務は、長年この分野に携わり、
> 築いてきた人脈を基礎としたからこそ達成できたものと考えています。
氏には、東京電力福島原子力発電所事故調査委員会のCTOを勝手に名乗り、「機密情報の漏洩」の疑いが出ています。Cyber3自体が日本政府に潜り込むために作られたものだとしたら、斎藤氏は相当前から日本政府に潜り込む計画を立てていた事になります。うまく潜り込めた今となっては、その後のドメインがどうなろうが知った事ではないのでしょうか。
ここから、オフトピですが、sradでストーリーになった時からブログが書き換えられていますが、他の項目については見苦しい言い訳というか、認識の違いでごまかせる内容ですが、「機密情報の漏洩」については真っ向から否定していますね。国会議員が氏が登壇して署名入り資料を配ったと証言していて、海外の企業も氏から資料提供を受けたが機密とは知らなかったと証言しているのに真っ向から否定して勝ち目はあるんでしょうか?これ位の詐欺師になると何らかの勝算があってやっていると言う事だとは思いますが。
Re: (スコア:0)
セキュリティ専門家が実績として作ったサイトが汎用JPなのか…。なんか喋れば喋るほどボロが出るような
Re: (スコア:0)
切込隊長氏があのタイミングで勝負を仕掛けたのは、仮に一撃必殺に失敗したとしても
この問題が露呈すれば相手の無能ぶりを証明できるからだったのでしょうか。
切込隊長の戦術が優秀なのは十分理解できたのですが、戦略で何を狙っているのか気になりますね。
ドメイン販売のサイト (スコア:2)
ドメインって失効するとドメイン販売のサイトになっちゃうよね。
けっこう高額でびっくりしますが。
jpはお名前コムの広告だけになったりすることも。
出会い系サイト (スコア:2)
エロサイトだったら目も当てられない。
昔見たサイトを
かなり時間がたってから見てみたら
今度は股間が勃ってたってことになりかねないので。
slashdot.jpは (スコア:1)
slashdot.jpも将来どうなってしまうのか心配です。
今のところOSDNで更新されているようですが…
srad.jpは? (スコア:1)
将来どうなってしまうか心配です(棒)
# そういえば os2.jp は日本IBMが手放したものの誰も見向きしなくて今があるらしい
# 直リン貼ると怒られそうなので つ modules/news/article.php?storyid=2
モデレータは基本役立たずなの気にしてないよ
何か問題なの? (スコア:0)
もうイベント終わって用済みになったドメインだから更新料払ってなかったわけだし、何か困るの?
どうすれば良かったの?
Re:何か問題なの? (スコア:5, すばらしい洞察)
わかってねえな
Cyber3 Conference Okinawa 2015 なんて、あからさまに一回こっきりしか使えねえもんに
一々.jpドメイン取得したこと自体が問題なんだよ
そんなものに一々ドメインなど取得する必要性はなく
内閣府主導で開催するというのなら、内閣府のドメインであるcao.go.jpにそのまま
cyber3conf-okinawa2015.cao.go.jpとでもDNSを設定しておけば良く
終了後はwww.cao.go.jpにでも301リダイレクトされるように設定しときゃ更新もクソも無く、それで終わった
それをわざわざ cyber3conf-okinawa2015.jp などというドメインを無駄に取得し、開催後はそのまま放置
そのドメインをドメイントロールに占有されるならまだしも、出会い系サイトに使われるなどという
「おまえらそもそもCyber3 Conferenceって一体なにについての催しなんだか分かってんの?」
ってぶちキレたくなるようなザマを、現在進行形で世界中に晒してるのが現状だ
もはやジョークw
Cyber3 Conference Tokyo 2016さんやCyber3 Conference Tokyo 2017さんの2年度が気になる今日この頃
Re: (スコア:0)
ドメインなら、
cyber3conf-okinawa2015.cao.go.jp
より
okinawa2015.cyber3conf.jp
だよな。
というより、誰が主導してんのか分からない、おかしい組織だよな。
何回もやってんのに、Wikipediaのページすら無いってなんかおかしいような。
2016-2017と日経が主催してるっぽいんだけど、2015は違ったのかなぁ・・・
# これ出会い系ってよりアダルト系なんじゃね?
Re: (スコア:0)
めんどくさがらずに組織のサブドメイン、最低でもgoは付けとけ。
でないと失効したときにこうなるぞって話なのにそれじゃあんま意味無いよ。
どうせ主催者が空きたら更新サボって同じことが起きるに決まってる。
Re:何か問題なの? (スコア:1)
イベントが終わって、ネット上からリンクが一斉に消滅してくれれば問題はないのですが、
WebサイトやらニュースサイトやらブログやらSNSやらで政府や企業/公共団体などがその当時にリンクを貼っていたりすると、
それらの記事は敢えて削除しない限り残り続けますので、
政府やそれらの企業/公共団体が、後年になって出会い系サイトの実質的な宣伝をしてしまうことになるわけです。
また、Google等が顕著ですが、サーチエンジンがそのようなリンクを見つけたりすると、
(特にgo.jpからリンクがあったりすると)信頼性に対するスコアが大幅に引き上げられますので、
手間も金もかけずに検索でも上位ランクを取ることができてしまうわけです。
Re:何か問題なの? (スコア:1)
既存かつ長期存続が見込まれる組織のドメインのサブドメインでやればよかったのでは?
Re:何か問題なの? (スコア:1)
似たようなトラブルってネットの普及期から繰り返されてるから
初めから予想できたはずなのに
なんでドメイン取ったんだ?と言うのは誰でも思う疑問なんだけど…
そりゃあ2000年頃のイベントだったら
想定していませんでしたって言えるかもしれないけど
2015年のイベントだろ?
Re: (スコア:0)
全体として笑い話なんだろうね。
Re: (スコア:0)
そうだよ。政府機関はドメインを取ったら国が無くなるまで手放してはいけない。
会社も潰れて完全に無くなるまで押さえておくことが望ましい。
そういう基本を押さえていないニワカの企画屋に任せると、こうして詐欺屋の餌になる。
Re: (スコア:0)
ご苦労なこった(笑)
Re: (スコア:0)
go.jpは政府以外に取られることはないから、その配下においては手放してもいいんじゃないかな。
Re: (スコア:0)
go.jp を使っていればそもそも日本政府以外のものがドメインを乗っ取ることはできないのにそうしなかったこと。
Re:何か問題なの? (スコア:5, 参考になる)
> 当時からそういうリスクを指摘されてうるさく警鐘を鳴らしてたならともかく
なんか大幅に勘違いしているみたいですが、その当時とっくに定められていた
「政府機関の情報セキュリティ対策のための統一基準」6.3.2項 遵守事項(1)「政府ドメイン名の使用」
http://takagi-hiromitsu.jp/diary/20141227.html [takagi-hiromitsu.jp]
に違反してたんですよ。
上の記事は2014年ですが、政府や地方自治体は信頼できるドメイン名を使うべきなんて話は、
その10年前の2004年くらいにはすでに常識に近い状態になってました。
http://takagi-hiromitsu.jp/diary/20041027.html [takagi-hiromitsu.jp]
この記事は地方自治体がその常識を知らないという嘆きですが、セキュリティに関心がある技術者であれば
知ってて当然でした。
こんなの常識だと思ってたんですが、知らない人がこのスレに結構いるのでビックリしてます。
Re: (スコア:0)
#3337525が言ってるのはそういう事じゃなくね?
こう問題が露見してから鬼の首取ったようなコメントが伸びてる状況がしょうもねえなって事では。
内閣府のサイトだったら何も考えなくてもgo.jpになったんだろうけど、内閣府主催の「イベント」となると、
イベント組織自体は内閣府から独立しそうな発想が出てくるのも全く分からんでもない。
go.jpでとっておけば後腐れは無いだろうが、イベントの性格にも依るし、
この件は政府が絡んでいるからたまたまその手が使えるだけとも言える。
勿論、後々まで問題無いように運用できる体制を確保するのがその主催組織のセキュリティ担当の責務で、チョンボなのは事実。
事実だけど、チョンボに対するツッコミが遅すぎるという印象は否めない。
なんでツッコミが遅くなったかで言えば、go.jpでなくてもドメインを確保し続けてれば問題は無かったって思考があるからなんじゃね。
Re: (スコア:0)
> 勿論、後々まで問題無いように運用できる体制を確保するのがその主催組織のセキュリティ担当の責務で、チョンボなのは事実。
> 事実だけど、チョンボに対するツッコミが遅すぎるという印象は否めない。
>
> なんでツッコミが遅くなったかで言えば、go.jpでなくてもドメインを確保し続けてれば問題は無かったって思考があるからなんじゃね。
違うと思うなあ。
自分は .go.jp ドメイン利用義務のことは昔から知ってたけど、
Cyber3 Conference なんていうイベントがあったなんて気づいてなかった。
存在を知らなければツッコミようもない。
ほとんどの人はそうじゃない?
DEF CON とか Black Hat Briefings とか Chaos Communication Congress とか
USENIX Security とかは、セキュリティ・リスクの発表とかでちょくちょく
報道されたりするので知ってたけど、Cyber3 って今回初めて知ったよ。
Re: (スコア:0)
Cyber3 Conferenceってくさってもセキュリティにきょうみがあるひとがあつまるイベントなんじゃないの?ちがうの?
つか誰もツッコまない程知られてないものなら逆にこの問題自体が過剰評価って話が出てくるけど。
「常識」ならそのドメインを見た人がいるならツッコまれるべき。
見た人がいないなら、そもそも問題は軽微。
でもこれは問題です。一定数見た人がいます。でも当時は炎上しませんでした。なぜでしょう?というクイズ。
Re: (スコア:0)
独自ドメイン発行が始まったばかりの頃ならともかく、2015年でしょ。
ドメイン失効後の顛末なんていくらでも知られてそうなもんだけど。
Re: (スコア:0)
当時からセキュリティの世界の一般常識なんですよね。
セキュリティのイベントじゃなければフォローもできたかもだけど。。。
Re:何か問題なの? (スコア:1)
> 当時からセキュリティの世界の一般常識なんですよね。
> セキュリティのイベントじゃなければフォローもできたかもだけど。。。
ホントこれ。
内閣府主催のセキュリティイベントが、政府が定めたセキュリティ基準に違反してるとか
草も生えない。
スラドは5chではない (スコア:0)
壷で頻繁に見掛ける
阿呆のふりして丁寧な解説を引き出す手法、
逆張り気味に煽って丁寧な解説を引き出す手法、
もうイベント終わって用済みになったドメインだから更新料払ってなかったわけだし、何か困るの?
どうすれば良かったの?
こう云うノリをお外に持ち出す輩が減って欲しいと願うばかりだ
Re: (スコア:0)
もしかしたら斎藤さんが本気で質問しに来ているのかもしれないじゃないか
Re: (スコア:0)
役人AC
うちの県では、
pref.〇○.jp
以外のドメインのウェブサイトを立ち上げる際には、情報システム課と広報課との協議が必要で、様々な課題を突き付けられる。
そこで、ウェブサイトを廃止した場合に、少なくとも2年間はドメインを維持しろ、という指導がつく。
こういう問題が容易に想定されるから、予算計上して維持しろ、と。
Re: (スコア:0)
当たり前のことではあるのですが、そうするようにきちんと決まり事が整っているのは偉いですね。
他の地方公共団体や公的機関でもこうなっていると良いのですが。
Re: (スコア:0)
武雄市にもおしえてやったらいいかも。
Re: (スコア:0)
2年じゃダメかもしれないね。
あるいは2年過ぎたら時効って共通認識にするか。
Re:何か問題なの? (スコア:1)
2年は意外です。
3年なら異動があるんで
使い捨てアドレスではなく .go.jp で。 (スコア:0)
使い捨てアドレスを使う理由がわかりません。
ちゃんと .go.jp を使えば良いと思うのですが、
避ける理由って何なのでしょう?
Re: (スコア:0)
go.jpの利用申請より予算内でco.jp借りる方が手間が死ぬほど少ないんじゃないすかね
Re:使い捨てアドレスではなく .go.jp で。 (スコア:2)
go.jpの利用申請より予算内でco.jp借りる方が手間が死ぬほど少ないんじゃないすかね
cyber3conf-okinawa2015.cao.go.jp
を使うのに予算がかかるなら税金の無駄使い。
Re: (スコア:0)
> cyber3conf-okinawa2015.cao.go.jp
> を使うのに予算がかかるなら税金の無駄使い。
え、cyber3conf-okinawa2015.jp を使うより cyber3conf-okinawa2015.cao.go.jp の方が安くつくでしょ。
cao.go.jp ドメイン維持のコストは既に払ってるわけだし、そこにサブドメインを追加するコストなんて、
技術者の実働時間だけ見れば10分とかだよ。
書類仕事のコストは別途必要だけど、それは cyber3conf-okinawa2015.jp を使った場合も必要となるコストだし、
予算措置が必要になる分、 cyber3conf-okinawa2015.jp の方が書類仕事が多くなるんじゃないのかな。
それに go.jp
Re: (スコア:0)
落ち着け
#3337658は同じ事を皮肉ってるだけだ
Re:使い捨てアドレスではなく .go.jp で。 (スコア:1)
書類作成数とそのための人的コストは圧倒的に違うでしょうねえ。
というかドメイン新規作成維持でなければいけない理由がわたしには見えない。
投げっぱなしで後のことを面倒見ない作戦の予算計上しかしなかった?
Re: (スコア:0)
お役所なんてそんなもの。
昔、NEDOプロジェクトに参加したとき、事務処理の時間を日報に記入したら怒られたし、事務書類の記入方法説明会の時間は開発会議をしたということにしておいてくれって言われました。
Re: (スコア:0)
今後はその「手間」の天秤にこうなってしまうリスクと、その対処(払い続ける維持コストなど)が乗ってくれることを祈るばかりで。
リンク元がきちんと管理すりゃいいんだけどね (スコア:0)
リンク元がきちんと自サイトを管理すればいいんだけどね。
CMSなり何なりで自サイトからのリンク先を一覧化して、そのドメインの有効期限が切れたタイミングで管理者に通知。管理者はWhoisを確認してドメインが更新されてなければリンクを切る。
そんなに煩雑だったり工数がかかる仕事じゃないのに、そういう管理してるサイトって何故か少ないのな。
# SEOとしても有効だぞ、と
Re: (スコア:0)
[リンク切れ]だらけの出典明記になったWikipediaの記事たちはどうすんの? よけいなBotばっかり運用しやがって
Re: (スコア:0)
内閣府側は尻拭いをしたみたいだね。
Google検索結果 [google.co.jp]だと
某オンラインゲームのポータルサイト (スコア:0)
誰でも知ってそうな某有名ゲームのオンライン版のポータルだった所がいつの間にかアダルトサイトのポータルサイトに変わってました
変わった直後はロゴもメタタグもそのままで検索にもひっかかると言う酷さ(現在は修正済み)
Re: (スコア:0)
Real Playerも一時期avサイトになってたな
co.jpでも (スコア:0)
日本から撤退した航空会社ヴァージン・アトランティックの跡地(virginatlantic[dot]co[dot]jp)も、広告にされていますね。
co.jpは登記がないと取れないですが、whoisを参照すると「アトランティック株式会社」による仮登録扱いになっていました。
Re: (スコア:0)
どっかの国に1万円ぐらいで外国会社作ってドメイン取っちゃえば簡単っていう
Re: (スコア:0)
仮登録だと法人格なくても取れちゃうっていう
Re:co.jpでも (スコア:2)
HIRATA Yasuyuki