This post is also available in: English (英語)
概要
脅威攻撃者は、たびたび「新規登録ドメイン(Newly Registered Domains, 以降NRDと表記)」を使って悪意のある攻撃を仕掛けることが確認されています。学術機関と産業界の調査レポートからも、NRDのリスクが高いことを示す統計的な証拠が示されており、フィッシング、マルウェア、詐欺などにNRDが悪用されているようすが明らかになってきました。したがって、セキュリティのベスト プラクティスでは、企業のトラフィックでNRDをブロックするか、厳格にモニタリングする必要があります。
ところがこうした証拠があるにもかかわらず、これまで、実際のサンプルを使用したNRD関連の悪用ならびに脅威に関する包括的なケース スタディは存在しませんでした。そこで本稿では、悪意のある攻撃者によるNRD悪用の包括的ケース スタディと分析を示します。
弊社はこれまで9年以上にわたりNRDを追跡してきました。またこの追跡にあたっては、Internet Corporation for Assigned Names and Numbers(ICANN)を含む、さまざまなドメイン登録機関と協力をしています。ドメイン登録機関は、ジェネリック トップ レベル ドメイン(gTLD)とカントリー コード トップ レベル ドメイン(ccTLD)の両方について、登録済みNRD情報を多数、弊社に直接提供してくれています。
また弊社は、WHOIS、ゾーン ファイル、パッシブDNSを含むデータ ソースの組み合わせを利用し、NRDを間接的にも特定しています。弊社独自のNRDフィードは、1,530件のトップ レベル ドメインで構成されており、これは弊社の知る限り、マーケットに公開されている最高のNRDフィード/サービス以上のものです。
弊社の分析からは、70%を超えるNRDが、「悪意のある」、「不審」、または「職場閲覧注意」のいずれかに属することが示されました。この比率は、Alexaの上位1万のドメインで観測された比率の約10倍です。また、悪意のある目的のために利用されるほとんどのNRDは、非常に短い期間しか存続しません。このようなNRDは、数時間または数日しか存続せず、セキュリティ ベンダが検出できる前に消滅することがあります。したがってNRDのブロックは、企業にとっては必須の予防的セキュリティ対策といえます。
本稿では、最近のNRDに関する統計情報の概要を示し、ケース スタディを通じてNRDに関連する悪用と脅威の実例を示し、最後にベスト プラクティスについて説明します。
統計情報の概要
数量
弊社のシステムでは、平均して毎日約20万のNRDが特定されています。合計数量は、15万と30万の間で変動しています。図1は、2019年5月10日から5月29日のNRD数を示したものです。一般に、週末よりも週日に登録されるNRDの方が常に多く、通常は水曜日がピークで日曜日には少なくなります。
図1.日々のNRD数推移
TLDの分布
すべてのTLDで、毎日新しい登録があるとは限りません。日々のNRDの登録では、平均して600~700の固有なTLDが利用されます。図2は、特に登録が多い上位10のTLDを示しています。この分布は、2019年3月から5月の3カ月分のデータセット全体からの平均を示しています。この図に示すように、.comは、34年前(1985年3月15日)に導入されたにもかかわらず、依然として最も人気のあるTLDです。これは、最近のNRD全体の33%を占めています。
第2位は時間の経過に伴って変化しますが、主に.tk、.cn、.uk.などの少数のccTLDが占めています。たとえば、.cnは、2018年11月から12月まで続けて第2位になりました。しかし、2019年3月から5月にかけては、.tkが常に第2位を占めていました。これらのccTLD (.tk、.ml、.ga、.cf、.gqなど)は、無料でドメインを登録できるため、NRD数が多くなっています。
NRDの使用
新規登録の目的を理解するため、私たちはPAN-DB URL Filteringサービスが割り当てたカテゴリと比較して、これらのドメインをクロスチェックしました。URL Filteringサービスというのは、Webコンテンツ クロール、マルウェア トラフィック分析、パッシブDNSデータ分析を含む一連の技法によってURLを分類するもので、ここから得られた結果がシンプルな「悪意のある」、「不審」、「職場閲覧注意」、「安全」、「その他」という5つのクラスにカテゴリ分けされます。「悪意のある」URLには、マルウェア、コマンド アンド コントロール(C2)、フィッシングの3つのカテゴリがあります。「不審」なURLでは、パーク ドメイン、疑わしいサイト、識別困難なWebサイト、高リスクのカテゴリが使用されます。ヌード、アダルト、ギャンブル、およびそれに類する内容には、「職場閲覧注意」のタグが付けられます。「安全」なURLに対しては、ビジネスと経済、コンピュータとインターネット情報、ショッピングのカテゴリが使用されます。上記のカテゴリに当てはまらないすべてのURLは、「その他」クラスに属します。上記図3は、この5つのクラスの内訳を示しています。
NRDの70%超が、PAN-DB URL Filteringサービスにより「悪意のある」、「不審」、「職場閲覧注意」のいずれかとしてマークされていました。この比率は、Alexaの上位1万のドメインで観測された比率(7.6%のみ)の約10倍です。また、PAN-DB URL Filteringサービスによると、悪意のあるカテゴリは、NRDの約1.27%を占めています。しかし、Alexaの上位1万のドメインでは、この比率は約0.07%にすぎませんでした。
悪意のあるNRD
悪意のあるNRDの特性についてさらに理解を深めるために、弊社は、各TLDに対して悪意のあるNRDの比率をチェックし、計算しました。図4には、最近のNRDで悪意のあるカテゴリの比率が特に高い上位15のTLDを示します。その多くは、ccTLDです。特定のTLDで悪意のあるカテゴリの比率が高い理由には、低コストまたは無料で登録可能であること、厳格性の低い登録ポリシー、公開されるWHOIS登録者データの不明確さなどがあります。
図4.悪意のあるNRDの比率が特に高い上位15のTLD
悪用と脅威
次に、NRDの悪用について説明します。私たちはURL Filtering、WildFire、DNS Securityを含む弊社の製品とサービスで観測されたNRDを分析しました。その結果、NRDが、C2、マルウェアの配信、フィッシング、タイポスクワッティング、PUP/アドウェア、スパムなどの悪用と脅威に関係していることが判明しました。以下に、実例と共に各カテゴリの要点を示します。
C2ドメイン
一般にマルウェアは、コントロール奪取、追加ペイロードのダウンロード、データ漏出の実行のために、「攻撃元と通信する」必要があります。この目的に使用される悪意のあるドメインを「コマンド アンド コントロールドメイン(C&C、C2と表記される)」と呼びます。
soroog[.]xyzは2019年5月29日に最初に登録されていましたが、同日中にC2用にこのドメインを利用するマルウェアが観測されました。これまで私たちは同C2ドメインを利用するAzoRultマルウェア サンプルを7件確認しています。AzoRultファミリに属するマルウェアには、ビットコイン ウォレットやクレジット カード情報などの機密データを自動的に収集する機能があります。
図5は、C2(soroog[.]xyz)と活発に通信するマルウェア トラフィックの一部を示したものです。同ドメインは、当初はIPアドレス51.68.184[.]115でホストされていました。弊社のパッシブDNSレコードによればこのIPは2019年6月24日に51.38.101[.]194に切り替えられ、2019年6月26日以降はNXDomain(存在しないドメイン)になりました。このように、このドメインが存続していたのは非常に短い期間でした。実際、こうした挙動は悪意のある目的に使用されるほとんどのNRDに当てはまります。このようなNRDは、数時間または数日のみ存続し、セキュリティ ベンダが検出できるより前に消滅します。したがって、NRDのブロックは必須の予防的セキュリティ対策といえます。
図5. AzoRult C2トラフィックのパケット キャプチャ
表1は、同ドメインに属するC2のURLを、それぞれの用途と共に列挙したものです。当該マルウェアの詳細な挙動に関心のある読者は、こちらの2つの公開分析レポートを参照してください。
URL | 用途 |
soroog[.]xyz/addbot | 新しいボットの登録 |
soroog[.]xyz/wallets | 窃取した情報の漏出 |
soroog[.]xyz/suicide | 自己削除の報告 |
soroog[.]xyz/task | 新しいタスクの登録 |
soroog[.]xyz/cpu | CPU情報の漏出 |
表1.AzoRultマルウェアのC2 URLと用途
マルウェアの配信
NRDは、一般にマルウェアの配信のために利用されます。ここでは、例としてEmotetマルウェア ファミリを使用します。Emotetは、ネットワーク トラフィックでバンキング資格情報を傍受するバンキング型トロイの木馬です。2014年に検出されたにもかかわらず、この脅威はいまだに広く拡散しています。弊社は、2019年の現在までに、5万種類のユニークなサンプルを観測しました。通常、最初の配信は、フィッシング攻撃を通じて行われます。図6に示すように、多くの場合、悪意のある文書は、フィッシング電子メールの添付ファイルとして、または感染したWebサイトから侵入します。この文書は、主にダウンローダーとしての役割を果たすことが多く、追加のペイロードをダウンロードし、実行します。通常、このダウンロードはHTTPを通じて行われます。私たちは数千種類のダウンロードURLを観測しましたが、これら多くのURLがNRDでホストされていました。
図6. Emotetマルウェアの配信チェーン
たとえばドメインhvkbvmichelfd[.]infoは、2019年5月2日に登録されたNRDです。そのたった4日後の5月6日、追加のペイロードをダウンロードするためのURL、hxxp://hvkbvmichelfd[.]info/skoex/po2.php?l=spond1.fgsを使用するEmotet文書が観測されました。興味深いことに、このペイロードは、(図6に示されていない)第2段階のペイロードをダウンロードするため、別のNRDであるhalanis21yi84alycia[.]topとさらに通信していました。この第2段階のドメインも、2019年5月2日に登録されたNRDでした。
Emotetの詳細については、こちらの2つの公開ブログを参照してください。
フィッシング
NRDはフィッシング攻撃においても頻繁に使用されています。ドメインcanada-neflxt[.]comは、2019年7月4日に登録されたNRDで、弊社のパッシブDNSレコードによれば、このドメインへのトラフィックは7月6日から確認され始め、同ドメインは7月17日までアクティブなフィッシング サイトでした。同サイトは被害者のNetflixの資格情報と請求情報の窃取を試みます(図10)。canada-neflxt[.]comにリダイレクトされる別のドメインnetflix-mail[.]caもありました。このドメインは7月11日に登録されたNRDでした。
同フィッシングWebサイトには、自動検出方式から自らを隠蔽するための複数の技法が組み込まれていました。たとえば、ログイン ページcanada-neflxt[.]com/login(図7a)では、クローラーがそれ以降のコンテンツにアクセスできないようCAPTCHAが利用されています。また、ログイン ページでは右クリックが無効化されています(図7b)。これは、被害者がこのWebサイトでページ リソースとネットワーク トラフィックを簡単に検査できないようにするためであると考えられます。弊社は、電子メールとパスワードの入力後に、暗号化されていない情報が送出されていることを観測しました。次に、被害者は、請求情報を設定するためのページにアクセスします(図7)。
図7a. CAPTCHAを利用しているログイン ページ
図7b. 右クリックが無効化されているログイン フォームのあるログイン ページ
図7c.請求情報を収集するための請求ページ
タイポスクワッティング
ドメインのタイポスクワッティングとは、Webブラウザにドメイン名を入力する際のインターネット ユーザーのタイプミスにつけ込むサイバー スクワッティング(ドメイン占拠)の一形式です。タイポスクワッティング ドメインを収益化するには、以下の3つの主要な方法があります。
第1の方法は、対象ドメインの所有者に、高い価格で売りつけることができるまで待機することです(たとえば、facebook[.]comの代わりにfacebo0k[.]comを登録します)。しかし、弊社の分析によると、大企業は防御のための登録を合理的かつ適切に行ってきました。さらに、防御のための登録を支援する多くのブランド モニタリング/保護サービスがあります。したがって、この方法で収益を得ることは難しくなっています。
第2の方法は、広告を配信するか、広告や競合企業にトラフィックをリダイレクトすることです(たとえば、t-mogbile[.]comをverizonwireless[.]comにリダイレクトします)。実質的に、これはトラフィックを収益化するというアイデアです。トラフィック量が十分にあり、登録料金(通常、年間10ドル未満)よりも高い収益をもたらす場合は、採算を取るとができます。
第3の方法は、フィッシング ページ、マルウェアの自動ダウンロードのような悪意のあるコンテンツを提供することです。
タイポスクワッティング ドメインは、NRDで数多く観測されています。たとえば、ドメインmocrosoft[.]cfは、Microsoftをターゲットとしたタイポスクワッティング ドメインと思われます。これは、一般的なキーボードで「i」と「o」の文字は隣りにあり、入力ミスが生じやすいためです。このドメインは、2019年6月3日に最初に登録され、弊社のデータでは同じ日にこのドメインへのトラフィックが確認されました。図8は、Microsoft Edge を使用してこのページを表示した場合のスクリーンショットです。明らかに、これはユーザーのログイン資格情報を盗もうとしているフィッシング ページです。
図8.偽のユーザー ログイン フォームを使用したフィッシング ページ
DGA
ドメイン生成アルゴリズム(DGA)は、C2やデータの取り出しなどの悪意のある目的に利用できる大量のドメインを定期的に生成するために、マルウェアによって使用される一般的なアプローチです。ほとんどのDGAでは、日付と時間に基づいてドメインが生成されます。たとえば、Conficker Cによって、毎日5万のドメインが生成されています。このような大量のドメインにより、司法当局による削除の取り組みが極めて難しくなります。しかし、攻撃者はアルゴリズムを知っているため、特定の日付にどのようなドメインが生成されるかを予測できます。したがって、攻撃者は、必要に応じて1つまたは少数のドメインを登録するだけですみます。DGAのほとんどは、極めて無作為に見えます。
たとえば、ypwosgnjytynbqin[.]comはRamnitファミリに属するDGAドメインです。これは、2019年7月3日に登録されました。3日後の7月6日に、弊社は、このドメインと通信しているRamnitサンプル(SHA256: 136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c2)を観測しました。
以下の表2には、登録後まもなくDGAドメインと通信したマルウェアの他の例を示します。
C2ドメイン | 登録日 | マルウェアのSHA256 | マルウェアが最初に確認された日付 | マルウェア ファミリ |
eqbqcguiwcymao[.]info | 2019-01-17 | 6e812122f3067348580f06a1c62068cf7d3bf05a86e129396d51dd7666bcf7b9 | 2019-01-21 | Pykspa |
aaqkekyaum[.]org | 2019-04-13 | 418dd3d94d138701f06c58ffb189dfae08c778fb9ad3859dbb7a301f299a8e55 | 2019-04-13 | Pykspa |
qgasocuiwcymao[.]info | 2019-06-12 | 72748e6e2a3260e684f295eafcb8dd5b9927d15c41857435dfa28fd473eeccc4 | 2019-06-13 | Pykspa |
litvxvkucxqnaammvef[.]com | 2019-04-11 | de51942e72483067aaeae3810bc4a24b8e12a782b3a59385989f9fccba08e421 | 2019-04-13 | Ramnit |
表2.NRDおよび関連マルウェアでのDGA.
PUPおよびアドウェア
PUP(Potentially Unwanted Program)は、ほとんどの場合、アドウェアを意味します。アドウェアは、マルウェアほどシステムに実際の損害を及ぼさないことがあります。しかし、通常、アドウェアは、ブラウザのデフォルト ページの変更、広告を挿入するためのブラウザの乗っ取りなど、システムに望ましくない変更を加えます。PUP/アドウェア インフラストラクチャは、攻撃でマルウェアに転用され、PUPを実行しているホストに影響を及ぼすことがあります。
installsvpn[.]comは、PUPの配信のために作成されました。5月10日に最初に登録されたこのドメインは、5月16日からPUPに利用されていることが観測され始めました。特に、これはiPhoneユーザーをターゲットとしているアドウェアです。図9には、「Secret VPN」ツールをダウンロードし、インストールすることをユーザーに促そうとしている偽りのウイルス ポップアップ メッセージを示します。検出を回避するために、このWebサイトは、OS情報を取得し、iPhoneのみに対して警告を表示しています。他のシステムに対しては、空のページが返されます。
図9.偽のウイルス警告ポップアップ
もう1つの例は、6月12日に登録され、6月14日に利用され始めたドメインllzvrjx[.]siteです。これは、無料のストリーミング動画アプリを提供するアダルトWebサイトです。弊社は、このアプリのAndroidバージョンを分析し、このアプリにはACCESS_FINE_LOCATION、SEND_SMS、READ_CONTACTSなどの望ましくないパーミッションが伴うことを発見しました。また、このWebサイトは、モバイル ユーザーをターゲットとしています。このサイトには、ブラウザのユーザー エージェントをチェックすることにより、デスクトップ ユーザーやクローラーから自らを隠蔽するクローキングJavaScriptが使用されています。
詐欺
主にユーザー名やパスワードなどのユーザー資格情報の入手を試みるフィッシング詐欺以外にも、その他のタイプのオンライン詐欺があります。弊社の分析によると、このような詐欺でもNRDが利用されています。以下に例をいくつか示します。
報酬詐欺: ドメインmey12d4[.]xyzは、2019年5月13日に登録されました。同じ日に、弊社は、図10aに示すように、被害者に送信された未承諾テキスト メッセージにこのドメインが組み込まれている攻撃を確認しました。このテキスト メッセージは、ユーザーにリンクのクリックを促すために、100ドルの報酬を利用しています。ブラウザでこのリンクを開くと、一連のリダイレクトを通じて、最終的に図10bに示すような偽のAmazonアンケート ページが表示されます。アンケートに答えていくと、クレジット カードや自宅の住所などの個人情報の入力を求めるページが表示されます。
テクニカル サポート詐欺: このタイプの詐欺は、正式なテクニカル サポート サービスを提供すると主張する電話を通じて、ソーシャル エンジニアリングを利用しています。多くの場合、被害者は騙されてリモート デスクトップ アクセス ツールをインストールし、あるいはクレジット カード情報を提供することにより「サポート」料金を支払います。通常、この詐欺は、コンピュータのセキュリティ侵害が生じていることを示し、サポート番号に電話することを被害者に指示するWebページから始まります。図11に、実際の例を示します。このページは、2019年7月17日に登録されたドメインsystem-alert-m99[.]xyzでホストされています。同じ日に、このドメインで、テクニカル サポート詐欺ページが提供され始めました。
図11.典型的なテクニカル サポート詐欺のWebページ
再請求詐欺: 最近のUnit 42ブログでは、「再請求」詐欺について解説しました。基本的に、被害者は、ダイエット サプリメントなどの商品を試用するために、少額の支払いを求められます。ただし、次のような文章が小さな文字で記載されています。「X日以内にサブスクリプションをキャンセルしない場合、はるかに高い金額が繰り返し請求されます」。クレジット カードに請求される想定外の各金額は、50~100ドルになることがあります。このような詐欺で使用されるほとんどのドメインは、NRDです。たとえば、ketoweightlosspillsreviews[.]comは、最近の2019年6月1日に登録されました。このタイプの詐欺の詳細については、このブログを参照してください。
スパム メール
スパム メールとは、さまざまな方法で収集された大量の電子メール アドレスに送信される未承諾メッセージです。スパム メールの目的は、広告からスピア フィッシングまで多岐にわたります。図12は、退職後の資産運用に関する広告を配信したスパム メールです。これは、2019年7月4日に登録されたmercinogenitor[.]comを通じて送信されました。このスパム メールは、7月15日に受信されました。当然、Gmailは受信時にこれをスパムとして検出しました。
図12.NRDから送信されたスパム メール
結論
新規登録ドメイン(NRD)は不正な目的のために悪意ある攻撃者によってたびたび悪用されています。その目的は、C2、マルウェアの配信、フィッシング、タイポスクワッティング、PUP/アドウェア、スパムなどさまざまです。その一方でNRDは新製品の発売、新規のブランドやキャンペーンの立ち上げ、新たなカンファレンスの主催、新しい個人サイトの作成などの悪意のない用途にも使用されます。
パロアルトネットワークスは、URL FilteringでNRDへのアクセスをブロックすることを推奨しています。偽陽性の可能性を考えればやりすぎと懸念されるかもしれませんが、NRDによる脅威のリスクはそれよりはるかに大きな懸念となるからです。少なくともNRDへのアクセスを許可するのであれば、追加で目につくような警告を表示してやる必要があります。弊社では、過去32日以内に登録ないし所有者変更が行われたドメインをNRDと定義しています。これは、弊社独自の分析により、NRDを悪意あるものとして検出する場合、最初の32日間が最適であることが明らかになったためです。
本稿のTLDセクションに示したとおり、私たちは悪意ある攻撃者によって主に利用されることがわかっているTLD自体(図4参照)をブロックすることも推奨します。その場合はもちろん、TLD全体のブロックによる偽陽性の可能性を、各組織がどの程度許容できるかについて把握する必要があります。
パロアルトネットワークスのすべてのお客様は、必要に応じてURL Filtering、DNS Security、WildFire、Threat Preventionを通じて、このブログで言及した悪意あるインジケーター(ドメイン、IP、URL、SHA256)から保護されます。このブログで言及したマルウェアの詳細に関心のあるAutoFocusをご使用のお客様は、AzoRult、Emotet、Pykspa、Ramnitに対するAutoFocusタグを参照してください。