トップレベルドメイン(TLD)とサイバー犯罪に関する考察

By

Category: Unit 42

Tags: , ,

A conceptual image related to the domain name system, in this case applied to an analysis of top-level domains and malicious content.

This post is also available in: English (英語)

概要

.com、.net、.xxx.huなどのトップレベルドメイン(TLD)は、ドメインネームシステム(DNS)の名前付け階層の最上位に位置します。ユーザーがドメイン名(たとえばpaloaltonetworks.com)を取得しようとする場合、通常は、TLDに直接登録するか、1つ下の階層(たとえばgoogle.co.uk)に登録する必要があります。TLDの価格、登録制限、セキュリティ慣行、他のTLDとの字句の類似性(たとえば.cm.com)などのTLDの特性やポリシーは、犯罪者が活動をしていく上でこれらのTLDに魅力を感じるかどうかに影響します。

1,000個以上あるTLDのうち、「悪意のあるドメイン(悪性ドメイン)」の数別で見て上位25個のTLDが、悪性ドメイン名全体の90%以上を占めています。これら25個のTLDじたいが悪性のわけではありませんが、これらのドメインは悪性ドメインの登録を軽減できる立ち位置にあります。私たちの調査では、無料でドメイン登録ができるTLDがフィッシングドメインに好まれるTLDの上位に位置していることがわかっており、先に述べた特性やポリシーが、サイバー犯罪組織にとって有利なTLDを作る上での重要な役割を果たしているという仮説を立てています。

悪性ドメイン率の高いTLDを調べてみると、トップ10のうち6つが発展途上国のTLDであることがわかりました。特に評判の悪いTLDの1つである.zwは、あるTLDが悪性ドメインである割合の平均を標準偏差7以上回っています。そして意外にも、.zwをはじめとするいくつかのTLDの評判が悪い(少なくとも部分的な)理由は、これらのTLDのドメインが悪意を持って登録されているというよりむしろ侵害されていることが多いから、ということがわかりました。もうひとつの例は.pwで、こちらはフィッシングドメインの登録率が平均を標準偏差7以上高くなっています。私たちの研究に基づいたTLDレピュテーションは、あるドメイン名に悪意があるかどうかを判断する機能の1つとして利用できます。

.xxx、.casino、.poker.pornなどの、アダルトサイトやギャンブルサイトなどのセンシティブな話題に特化して作られたTLDのドメインを調査したところ、それぞれそのTLDにふさわしいコンテンツがホストされていることが確認できました。パロアルトネットワークスのお客様は、External Dynamic List(外部ダイナミック リスト)機能を使用して、不適切と思われる個々のTLDを完全にブロックすることができます。たとえば、カスタム ワイルドカード ルール (例: *.xxx) を設定して、本稿で特定したアダルトおよびギャンブルのTLDをブロックすることができます。

パロアルトネットワークスでは、Advanced URL FilteringDNS Securityなどの複数のセキュリティサブスクリプションを提供しています。これらのサブスクリプションは、本稿で取り上げたような「悪意のある(malicious)」カテゴリのドメインや「センシティブ(sensitive)」なカテゴリのドメインをブロックする用途に利用できます。

トップレベルドメインとDNSエコシステム

まずドメインネームシステムの階層構造についてと、なぜトップレベルドメイン(TLD)を研究するのかについて、簡単に紹介します。

ドメイン名の構造は、右端からトップレベルドメイン、登録ドメイン、第3レベルのサブドメインの順です。
図1 ドメイン名の構造

unit42.paloaltonetworks.com」といったドメイン名は、3つの部分から構成されています。このうち「.com」の部分が、トップレベルドメイン(TLD)で、これがDNSの名前階層の最上位に位置します。通常、ドメイン名の購入を検討しているユーザーは、これらのTLDの下に登録できます。ユーザーが取得したドメイン名を「登録ドメイン」と呼びます。Palo Alto Networks Inc. が.comの名前空間で第2レベルの名前paloaltonetworksを購入したとき、同社はpaloaltonetworks.com以下のすべての名前の所有権を獲得したことになります。したがって、同社が「生命、宇宙、そして万物についての究極の疑問の答え」を提供することを使命とする下部組織を設立することを決定した場合、第3レベルドメイン名の「unit42」を自由に作成できます。本稿で提示する数は、ユニークな登録ドメイン数をベースにしています。たとえばwww.google.co.ukであれば、第3レベル登録ドメインであるgoogle.co.ukを対象としており、第2レベルのco.uk や第4レベルのwww.google.co.ukは対象にしていません。

TLDには大きく分けて2種類あります。分野別トップレベルドメイン(gTLD)は、民間企業ないし団体が所有・運営するもので、ICANN(Internet Corporation for Assigned Names and Numbers)が管理しています。gTLDの例としては、.com、.xxx.googleなどがあります。一方、国別コードトップレベルドメイン(ccTLD)は、国が所有・規制しています(ただし、民間企業が運営している場合も多い)。ccTLDには、.us、.cn、.de.huなどのドメインがあります。

TLDを運営し、TLD直下で登録されたドメインのレコードを管理する組織を「レジストリ」と呼びます。これらのレジストリは、TLDの下のドメイン名を管理するだけではありません。gTLDの場合は価格設定や必要な本人確認、ドメイン名の購入制限などに関するポリシーを決めています。これらのポリシーは、犯罪者が不正ドメイン登録のために特定TLDをどのぐらい好むかに影響を与えます。無料または安価で登録できてポリシーが緩いTLDが悪意のある行為に適しています。

TLDを調査することで、犯罪者の嗜好や、悪性のドメインがどこに存在するのかについての理解が深まります。TLDのレピュテーションは、ドメインが悪意のあるものかどうかを判断するのに役立ち、悪名高いTLDの運営者には、悪用を一部抑制する方向で働きかけることができます。さらに、成人向けの娯楽やギャンブルなど、特定のセンシティブなトピックのために作られたTLDは、特定のユースケースでは完全にブロックすることが最善であると考えられます。たとえば、教育機関では、アダルトとギャンブルの両方のTLDをブロックしたいと考えるでしょう。

悪性ドメインとTLD

手法

悪性TLDと良性TLDの両方の使用状況を把握するため、私たちはAdvanced URL Filtering サービスが提供する詳細なカテゴリを使用しています。まず、Advanced URL Filteringサービスで分類されたドメインのみを、登録ドメイン(ルートドメインとも呼ばれる)にかぎって調べます。また、ゾーンファイルやパッシブDNSの確認、アクティブDNSクエリの発行によって、過去1年間にドメインが存在したかどうかも検証します。「Parked(パーキング)」ドメイン、「Insufficient Content(コンテンツ不足)」ドメイン、「Unknown(不明)」ドメインと分類されたドメインは計算対象にしていません。このほか、レピュテーションスコアの算出にあたっては、悪質であるとして事前にシンクホールされているドメインも対象にしません。最後に、ドメイン数が100以上のTLDのみを対象としています。これは、小規模なTLDでは、ドメイン名の登録可能者を制限するポリシーが導入されている可能性があるためです。本稿は、2021年10月7日に収集されたデータに基づいています。

私たちは、パロアルトネットワークスが定義した4つの悪意あるカテゴリ、すなわち、「Malware(マルウェア)」、「Phishing(フィッシング)」、「Command and Control / C2(コマンド&コントロール / C2)」、「Grayware(グレイウェア)」について調査します。一般に「悪性ドメイン」について議論する場合、これら4つの「悪意のあるカテゴリ」の和集合を考えます。

悪意のあるコンテンツの次に、企業や教育機関、政府などでは違法ないし不適切となる可能性のある、センシティブなコンテンツのホスト用に登録されたドメインを調べます。

推奨事項として、お客様にて適切と判断される場合はこれらのカテゴリをブロックするようご提案しています。本稿で対象としたセンシティブなカテゴリには、「Dynamic DNS(ダイナミックDNS)」、「Abused Drugs(乱用されている薬物)」、「Adult(アダルト)」、「Gambling(ギャンブル)」、「Peer-to-Peer(P2、ピア・ツー・ピア)」、「Hacking(ハッキング)」、「Questionable(疑わしい)」、「Cryptocurrency(暗号通貨)」、「Proxy Avoidance(プロキシ回避)」、「Anonymizer(アノニマイザ)」、「Copyright Infringement(著作権侵害)」が含まれています。

悪性ドメイン数が最も多いTLD

サイバー犯罪者のTLD志向を調べるため、まず各TLDに登録されたユニークな悪性ドメイン数を調べます。予想される通り、悪性ドメインの直接的な数は、圧倒的に人気のある.comなどのTLDが最多ですが、悪性ドメインの占める比率は平均的なものにとどまっています。そのため、このように大きなTLDについては悪性であるとはみなされません。ただし、全悪性ドメインの大半を提供しているTLDもなかには含まれているので、これらTLDの責任は大きいといえます。たとえば、悪性ドメインの半数近くは.comドメインです。

青の点線は全体、赤の点線はMalicious(悪意のある)、ピンクの点線はMalware(マルウェア)、紫の点線はPhishing(フィッシング)、黄色の点線はC2、緑の点線はGrayware(グレイウェア)、茶色の点線はSensitive(センシティブ)カテゴリのドメインを表す
図2 いくつかのカテゴリについてのTLD全体のドメイン数累積分布

図2は、登録されているドメイン全体、さまざまな悪性のカテゴリのドメイン、センシティブなドメインそれぞれについて見たTLDの累積分布です。曲線の下の面積が小さい(「フラット」な曲線)ということは、そのカテゴリのTLDにドメインが均等に分布していることを示しています。悪性ドメインやセンシティブドメインは、最も曲線下の面積が小さくフラットな「ドメイン全体」と比べて、曲線下の面積が大きくなっていますので、犯罪者が特定のTLDを他より好んでいることがここから示唆されます。たとえば、図2を見ると、C2ドメイン(黄土色の点線)の99%以上が、たった29個のTLDに集中していることがわかります。また、悪性のドメインの中では最も均等な分布が見られる悪性カテゴリのひとつ「フィッシング」(紫の点線)では、フィッシングドメインの99%が92個のTLDに集中していることがわかります。なお全ドメインの99%は219個のTLDに集中しています。

全数 悪意のある フィッシング マルウェア グレイウェア C2 センシティブ
TLD 累積分布 TLD 累積分布 TLD 累積分布 TLD 累積分布 TLD 累積分布 TLD 累積分布 TLD 累積分布
com 0.47 com 0.49 com 0.41 com 0.51 xyz 0.38 com 0.58 com 0.39
net 0.51 icu 0.53 xyz 0.48 icu 0.56 com 0.68 net 0.66 tk 0.48
de 0.55 xyz 0.58 tk 0.52 cn 0.61 tokyo 0.71 tk 0.72 icu 0.54
org 0.58 cn 0.62 ml 0.55 net 0.66 club 0.73 cn 0.76 ga 0.59
tk 0.61 net 0.66 cf 0.59 ml 0.70 net 0.75 info 0.79 cf 0.63
uk 0.63 ml 0.70 icu 0.61 org 0.72 work 0.76 cf 0.82 gq 0.67
cn 0.65 tk 0.73 ga 0.64 tk 0.75 ru 0.77 ml 0.85 ml 0.71
ru 0.67 org 0.75 top 0.66 cf 0.77 co 0.79 ga 0.88 cn 0.74
icu 0.68 cf 0.77 pw 0.68 xyz 0.79 info 0.80 gq 0.91 xyz 0.77
xyz 0.70 ga 0.79 net 0.70 ga 0.80 org 0.81 top 0.92 net 0.80

表1 登録ドメイン数の多いTLDとさまざまなカテゴリにおける累積分布

先に述べたように、「.com」のTLDは登録されたドメインの半数近くを占めています。それにともない、悪性ドメインの約半数も占めています。これは、.com TLDが悪性であることを意味しませんが、.com TLDの運営者は、悪性ドメインの登録の一掃に協力できるというユニークな立ち位置にあります。このことは .net、.org、.tk、.cn、.icu、.xyzなどの他の大規模TLDにも当てはまります。

また表1では、.pw、.ml、.club、.cf、.top などの TLD は、特定の種類の不正使用ではトップ10に入っていますが、登録数の多いTLDのトップ10には入っていません。ここに犯罪者の選好が明確に表れています。.xyz TLDは、ドメイン登録総数のトップ10 TLDにはかろうじてランクインしている程度ですが、フィッシングドメイン数では .com TLDに次いで多く、グレイウェアドメインの登録数では最も多くなっています。

逆に、.deや.ukなどの大規模TLDは、どの悪性カテゴリでもトップ10に入っていません。これらのTLDは、いずれも悪性ドメイン数が平均を大幅に下回っており、誠実なTLDレジストリが悪用を抑制できることを示しています。

フィッシングドメインの多いTLDトップ10の半分は、ドメイン登録総数最多TLDのトップ10にはランクインしていないことから、フィッシングの実行者たちはある種のTLDを好むことを示す証拠となっています。これら5つのフィッシングドメインをランダムにサンプリングしたところ、Facebook、Instagram、WhatsApp、PayPal、Gmailなどのブランドをターゲットにしたものが多いことがわかりました。さまざまなブランドをターゲットにするフィッシングドメインは、サイバースクワッティングに関するこちらのブログ記事でも解説したとおり、Domain Squatting(ドメインスクワッティング)というべつのカテゴリに分類されます。また私たちは、「login(ログイン)」、「support(サポート)」、「account(アカウント)」などの言葉を含む、より汎用的なフィッシングドメインも数多く確認しています。フィッシングドメインの3つ目のカテゴリは、COVID-19(新型コロナウイルス感染症)など特定のトレンドになっているトピックに関連するものです。私たちは、この感染症の拡大の比較的初期に COVID-19関連のドメインを深く掘り下げました。

さらに、.pwや.tkなどの一部のccTLDでは、悪性ドメインの登録数が目に見えて多く、これらの地域の人口に匹敵するか、それ以上の数になっています。また、.tk TLDには、トケラウ島の人口よりも多くのフィッシングドメインが登録されています。これらのccTLDとドイツの.de ccTLDの人口比(一人当たりの悪性ドメイン数)を比較すると、数百倍から数十万倍の比率になっています。たとえば、.tk、.pw、.wsは、.deに比べ、それぞれ27万1,768倍、2,373倍、610倍となっています。フィッシングドメインに限ってみると、.tkと.pwでは、同じ人口比が .deに比べ、それぞれ46万2,098倍と2万286倍になっています。

ccTLD .de ドメインの一人当たりの悪性ドメイン数を1とした場合の比 .de ドメインの一人当たりのフィッシングドメイン数を1とした場合の比
.tk 271,768 462,098
.pw 2,373 20,286
.ws 610 11.44

表2 一人当たりの悪性ドメインとフィッシングドメインを、悪性ドメイン率が比較的低い.deと、悪用の多いTLDである.tk、.pw、.wsとで比較

ドメイン名の世界で最も魅力的な物語の1つは、トケラウという太平洋の小さな島のccTLDである.tkが、世界で最も登録数の多いTLDの1つになったことです。一時はドメイン登録がトケラウの収入の6分の1を占めていたこともありました。彼らのTLDは、ドメイン登録料ではなく広告から収入を得る無料のドメイン登録を提供したことで人気を博しました。残念ながら、表1を見てわかるように、彼らのドメイン登録ポリシーは、悪用、スパム、大量のセンシティブなコンテンツを招くものでもあります。

実際、Freenomが運営する.tk、.ga、.cf、.mlというTLDは、フィッシングサイトをホスティングしているドメインのトップTLDリストに名を連ねており、そのうちいくつかのTLDはほかの悪性カテゴリのトップTLDリストにもランキングしています。Freenomの5番目のTLDである「.gq」も、センシティブカテゴリのトップリストに登場し、悪意のあるカテゴリのトップ10にはかろうじてランク外でした。なお、これらのccTLDはすべて発展途上国が所有しており、登録されたドメインからの収入が、悪意のある登録から生じる問題を上回る可能性があります。これは、.deのようなTLDでは、サイバー犯罪による金銭的損失がドメイン登録による収入を上回っているのとは対照的です。

無料で登録できるTLDに加え、.xyzや.icuなどのTLDは、安価なドメインを提供するという別の戦略をとっていて、その値段は通常数ドル程度です。この価格戦略のおかげで、これら2つのTLDは、良質・悪質をとわず、ユーザーから最も人気のあるTLDになりました。

私たちは「無料や安価なドメイン登録は高いレベルの悪用につながる」というこれまでの調査結果を確認しています。さらに同じ報告書で私たちは「登録制限で乱用率は下がる」ことも確認しています。悪意のある登録を減らすため、登録ポリシー戦略を考案しようとするリサーチャーも存在します。残念ながら、ドメイン名のエコシステムは複雑で、近い将来に大きな変化が起こることは考えにくいでしょう。

悪性ドメイン率が高いTLD

悪意のある フィッシング マルウェア グレイウェア C2
TLD MAD TLD MAD TLD MAD TLD MAD TLD MAD
zw 30.37 pw 43.48 zw 38.05 SBS 89.66 cyou 7.95
bd 26.18 quest 32.00 bd 30.98 tokyo 66.08 pw 6.72
ke 25.38 ke 17.28 ke 28.69 xyz 40.94 ws 4.25
am 18.48 date 15.47 am 24.46 cam 21.21 gq 4.03
SBS 17.58 cyou 13.80 cd 16.07 date 18.56 cf 3.84
date 15.38 support 11.38 date 13.12 cm 16.21 ml 3.81
pw 13.35 win 8.55 bid 12.81 casa 15.78 ga 3.36
quest 11.92 rest 7.14 ml 12.00 uno 11.77 info 2.93
cd 11.88 casa 6.45 ws 10.68 email 8.39 su 2.74
bid 10.96 help 5.47 icu 9.08 stream 7.38 best 2.44

表3 悪性ドメイン率の高いTLD

ここでは、Median Absolute Deviation (中央絶対偏差)のスコアを「MAD」としています。MADは、中央値からの絶対的偏差の中央値のことです。表3に示すように、私たちは、あるTLD内にある全ドメインに対する悪性ドメインの比率をMADスコアとして算出しました。TLDを中央値と比較するために、MADスコアを悪性のレピュテーションとして使用しています。外れ値が大きくて平均値が偏ってしまう場合はMADスコアが標準偏差よりも適しています。たとえば、-0.06という標準偏差を考えた場合、.com TLDの悪性度は平均近くであるように見えます。ところがこのMADスコアは0.81であることから、.com TLDは中央値のTLDより悪性度が高いことがわかります。

表3を見ると、悪性度の割合の高いTLDであっても、数でみた場合は上位のTLDにほとんどおよばないものが見られます。たとえば.zw、.bd、.keなどは、極端に、悪性ドメイン比率が高いTLDです。これらのTLDへのドメイン登録は、.com TLDへの登録に比べ、4倍から14倍の費用がかかるので、悪性度が高いのは予想外でしたが、驚くべきことに、これらのTLDに登録されている悪性ドメインのかなりの部分が、悪意を持って登録されたものではなく、侵害を受けていたものであることがわかりました。これらの地域の一人当たりのGDPは米国の30分の1から60分の1程度で、これらのTLDでWebサイトを立ち上げる予算や専門知識が少ないことが考えられます。その結果、ドメイン名のランダムサンプリングからも分かる通り、Webサイトの品質が低くなり、セキュリティホールが増えていることが予想されます。

1つ興味深いケースが、フィッシング(第12位)とグレイウェア(第6位)で上位のTLDである.cmでしょう。私たちは、犯罪者が.comに似た.cmをフィッシング攻撃に好んで使用しており、このTLDで登録されたドメインは、フィッシング攻撃で目立たなくさせることができるのではないかと推測しています。

センシティブなTLDカテゴリ

TLD 比率 MAD
casino 0.88 54.05
xxx 0.86 52.67
poker 0.84 51.22
porn 0.81 49.88
bet 0.66 40.35
sex 0.60 35.97
sexy 0.54 32.39
adult 0.39 22.74
gq 0.29 16.63
webcam 0.26 14.57

表4 センシティブカテゴリのカテゴリ別のトップTLD

パロアルトネットワークスでは悪性コンテンツと並んで企業がブロックしたいと考えているセンシティブなカテゴリやリスクの高いカテゴリも追跡しています。たとえば教育機関や政府機関ではアダルトサイトやギャンブルサイトをブロックしたい場合が多いでしょう。弊社製品をお使いのお客様は、External Dynamic List(外部ダイナミックリスト)機能を使うことで、センシティブなカテゴリに特化したTLDである.xxxや.casinoなど、TLD全体をブロックすることができます。

表4では、いくつかのTLDで、センシティブのカテゴリに属するドメインの割合が高いことがわかります。私たちは数々のセンシティブなカテゴリを追跡していますが、センシティブなカテゴリに特化したTLDのトップリストに入ったのはそのほとんどがアダルトとギャンブルのTLDでした。また、特定TLDでよく見られるカテゴリとしては「Proxy Avoidance and Anonymizers(プロキシ回避とアノニマイザ)」があげられます。これは .gq、.ga、.ml、.tkなどのTLDでよく見られます。

結論

悪性ドメインの大部分は、ひと握りのTLDで見つかることがわかっており、これがTLDがサイバー犯罪対策に役立つ機会を提供しています。また、中央値以上のMADスコアを持つTLDも多く見られ、ドメイン名を悪性か良性かに分類するTLDレピュテーションを考案できることが示唆されました。また、センシティブのカテゴリに特化したTLDも確認されていますが、弊社製品をお使いのお客様であれば「External Dynamic List(外部ダイナミックリスト)」機能でブロック可能です。

パロアルトネットワークスでは、Advanced URL FilteringDNS Securityなどの複数のセキュリティサブスクリプションを提供しています。これらのサブスクリプションは、本稿で取り上げたような「悪意のある(malicious)」カテゴリのドメインや「センシティブ(sensitive)」なカテゴリのドメインをブロックする用途に利用できます。

謝辞

本稿に対し貴重なご意見をくださったArun Kumar氏、Daiping Liu氏、Erica Naone氏、Laura Novak氏、Oleksii Starov氏に感謝いたします。