Advanced DNS Security
This post is also available in: English (英語)
概要
.com、.net、.xxx、.huなどのトップレベルドメイン(TLD)は、ドメインネームシステム(DNS)の名前付け階層の最上位に位置します。ユーザーがドメイン名(たとえばpaloaltonetworks.com)を取得しようとする場合、通常は、TLDに直接登録するか、1つ下の階層(たとえばgoogle.co.uk)に登録する必要があります。TLDの価格、登録制限、セキュリティ慣行、他のTLDとの字句の類似性(たとえば.cmと.com)などのTLDの特性やポリシーは、犯罪者が活動をしていく上でこれらのTLDに魅力を感じるかどうかに影響します。
1,000個以上あるTLDのうち、「悪意のあるドメイン(悪性ドメイン)」の数別で見て上位25個のTLDが、悪性ドメイン名全体の90%以上を占めています。これら25個のTLDじたいが悪性のわけではありませんが、これらのドメインは悪性ドメインの登録を軽減できる立ち位置にあります。私たちの調査では、無料でドメイン登録ができるTLDがフィッシングドメインに好まれるTLDの上位に位置していることがわかっており、先に述べた特性やポリシーが、サイバー犯罪組織にとって有利なTLDを作る上での重要な役割を果たしているという仮説を立てています。
悪性ドメイン率の高いTLDを調べてみると、トップ10のうち6つが発展途上国のTLDであることがわかりました。特に評判の悪いTLDの1つである.zwは、あるTLDが悪性ドメインである割合の平均を標準偏差7以上回っています。そして意外にも、.zwをはじめとするいくつかのTLDの評判が悪い(少なくとも部分的な)理由は、これらのTLDのドメインが悪意を持って登録されているというよりむしろ侵害されていることが多いから、ということがわかりました。もうひとつの例は.pwで、こちらはフィッシングドメインの登録率が平均を標準偏差7以上高くなっています。私たちの研究に基づいたTLDレピュテーションは、あるドメイン名に悪意があるかどうかを判断する機能の1つとして利用できます。
.xxx、.casino、.poker、.pornなどの、アダルトサイトやギャンブルサイトなどのセンシティブな話題に特化して作られたTLDのドメインを調査したところ、それぞれそのTLDにふさわしいコンテンツがホストされていることが確認できました。パロアルトネットワークスのお客様は、External Dynamic List(外部ダイナミック リスト)機能を使用して、不適切と思われる個々のTLDを完全にブロックすることができます。たとえば、カスタム ワイルドカード ルール (例*.xxx) を設定して、本稿で特定したアダルトおよびギャンブルのTLDをブロックすることができます。
パロアルトネットワークスでは、Advanced URL FilteringやDNS Securityなどの複数のセキュリティサブスクリプションを提供しています。これらのサブスクリプションは、本稿で取り上げたような「悪意のある(malicious)」カテゴリのドメインや「センシティブ(sensitive)」なカテゴリのドメインをブロックする用途に利用できます。
トップレベルドメインとDNSエコシステム
まずドメインネームシステムの階層構造についてと、なぜトップレベルドメイン(TLD)を研究するのかについて、簡単に紹介します。
「unit42.paloaltonetworks.com」といったドメイン名は、3つの部分から構成されています。このうち「.com」の部分が、トップレベルドメイン(TLD)で、これがDNSの名前階層の最上位に位置します。通常、ドメイン名の購入を検討しているユーザーは、これらのTLDの下に登録できます。ユーザーが取得したドメイン名を「登録ドメイン」と呼びます。Palo Alto Networks Inc. が.comの名前空間で第2レベルの名前paloaltonetworksを購入したとき、同社はpaloaltonetworks.com以下のすべての名前の所有権を獲得したことになります。したがって、同社が「生命、宇宙、そして万物についての究極の疑問の答え」を提供することを使命とする下部組織を設立することを決定した場合、第3レベルドメイン名の「unit42」を自由に作成できます。本稿で提示する数は、ユニークな登録ドメイン数をベースにしています。たとえばwww.google.co.ukであれば、第3レベル登録ドメインであるgoogle.co.ukを対象としており、第2レベルのco.uk や第4レベルのwww.google.co.ukは対象にしていません。
TLDには大きく分けて2種類あります。分野別トップレベルドメイン(gTLD)は、民間企業ないし団体が所有・運営するもので、ICANN(Internet Corporation for Assigned Names and Numbers)が管理しています。gTLDの例としては、.com、.xxx、.googleなどがあります。一方、国別コードトップレベルドメイン(ccTLD)は、国が所有・規制しています(ただし、民間企業が運営している場合も多い)。ccTLDには、 .us、.cn、.de、.huなどのドメインがあります。
TLDを運営し、TLD直下で登録されたドメインのレコードを管理する組織を「レジストリ」と呼びます。これらのレジストリは、TLDの下のドメイン名を管理するだけではありません。gTLDの場合は価格設定や必要な本人確認、ドメイン名の購入制限などに関するポリシーを決めています。これらのポリシーは、犯罪者が不正ドメイン登録のために特定TLDをどのぐらい好むかに影響を与えます。無料または安価で登録できてポリシーが緩いTLDが悪意のある行為に適しています。
TLDを調査することで、犯罪者の嗜好や、悪性のドメインがどこに存在するのかについての理解が深まります。TLDのレピュテーションは、ドメインが悪意のあるものかどうかを判断するのに役立ち、悪名高いTLDの運営者には、悪用を一部抑制する方向で働きかけることができます。さらに、成人向けの娯楽やギャンブルなど、特定のセンシティブなトピックのために作られたTLDは、特定のユースケースでは完全にブロックすることが最善であると考えられます。たとえば、教育機関では、アダルトとギャンブルの両方のTLDをブロックしたいと考えるでしょう。
悪性ドメインとTLD
方法論
悪性TLDと良性TLDの両方の使用状況を把握するため、私たちはAdvanced URL Filtering サービスが提供する詳細なカテゴリを使用しています。まず、Advanced URL Filteringサービスで分類されたドメインのみを、登録ドメイン(ルートドメインとも呼ばれる)にかぎって調べます。また、ゾーンファイルやパッシブDNSの確認、アクティブDNSクエリの発行によって、過去1年間にドメインが存在したかどうかも検証します。「Parked(パーキング)」ドメイン、「Insufficient Content(コンテンツ不足)」ドメイン、「Unknown(不明)」ドメインと分類されたドメインは計算対象にしていません。このほか、レピュテーションスコアの算出にあたっては、悪質であるとして事前にシンクホールされているドメインも対象にしません。最後に、ドメイン数が100以上のTLDのみを対象としています。これは、小規模なTLDでは、ドメイン名の登録可能者を制限するポリシーが導入されている可能性があるためです。本稿は、2021年10月7日に収集されたデータに基づいています。
私たちは、パロアルトネットワークスが定義した4つの悪意あるカテゴリ、すなわち、「Malware(マルウェア)」、「Phishing(フィッシング)」、「Command and Control / C2(コマンド&コントロール / C2)」、「Grayware(グレイウェア)」について調査します。一般に「悪性ドメイン」について議論する場合、これら4つの「悪意のあるカテゴリ」の和集合を考えます。
悪意のあるコンテンツの次に、企業や教育機関、政府などでは違法ないし不適切となる可能性のある、センシティブなコンテンツのホスト用に登録されたドメインを調べます。
推奨事項として、お客様にて適切と判断される場合はこれらのカテゴリをブロックするようご提案しています。本稿で対象としたセンシティブなカテゴリには、「Dynamic DNS(ダイナミックDNS)」、「Abused Drugs(乱用されている薬物)」、「Adult(アダルト)」、「Gambling(ギャンブル)」、「Peer-to-Peer(P2、ピア・ツー・ピア)」、「Hacking(ハッキング)」、「Questionable(疑わしい)」、「Cryptocurrency(暗号通貨)」、「Proxy Avoidance(プロキシ回避)」、「Anonymizer(アノニマイザ)」、「Copyright Infringement(著作権侵害)」が含まれています。
悪性ドメイン数が最も多いTLD
サイバー犯罪者のTLD志向を調べるため、まず各TLDに登録されたユニークな悪性ドメイン数を調べます。予想される通り、悪性ドメインの直接的な数は、圧倒的に人気のある.comなどのTLDが最多ですが、悪性ドメインの占める比率は平均的なものにとどまっています。そのため、このように大きなTLDについては悪性であるとはみなされません。ただし、全悪性ドメインの大半を提供しているTLDもなかには含まれているので、これらTLDの責任は大きいといえます。たとえば、悪性ドメインの半数近くは.comドメインです。
図2は、登録されているドメイン全体、さまざまな悪性のカテゴリのドメイン、センシティブなドメインそれぞれについて見たTLDの累積分布です。曲線の下の面積が小さい(「フラット」な曲線)ということは、そのカテゴリのTLDにドメインが均等に分布していることを示しています。悪性ドメインやセンシティブドメインは、最も曲線下の面積が小さくフラットな「ドメイン全体」と比べて曲線下の面積が大きく、犯罪者が特定TLDを他より好んでいることがここから示唆されます。たとえば、全C2ドメインの99%以上がたった29のTLDに集中しています。同時に、全ドメインの99%が219のTLDに集中しています。悪性ドメインの中では最も均等に分布している悪性のカテゴリのひとつ「フィッシング」では、フィッシングドメインの99%が92個のTLDに集中していることがわかります。
| 全数 | 悪意のある | フィッシング | Malware (マルウェア) | Grayware (グレイウェア) | C2 | センシティブ | |||||||
| TLD | 累積分布 | TLD | 累積分布 | TLD | 累積分布 | TLD | 累積分布 | TLD | 累積分布 | TLD | 累積分布 | TLD | 累積分布 |
| com | 0.47 | com | 0.49 | com | 0.41 | com | 0.51 | xyz | 0.38 | com | 0.58 | com | 0.39 |
| net | 0.51 | icu | 0.53 | xyz | 0.48 | icu | 0.56 | com | 0.68 | net | 0.66 | tk | 0.48 |
| de | 0.55 | xyz | 0.58 | tk | 0.52 | cn | 0.61 | tokyo | 0.71 | tk | 0.72 | icu | 0.54 |
| org | 0.58 | cn | 0.62 | ml | 0.55 | net | 0.66 | club | 0.73 | cn | 0.76 | ga | 0.59 |
| tk | 0.61 | net | 0.66 | cf | 0.59 | ml | 0.70 | net | 0.75 | info | 0.79 | cf | 0.63 |
| uk | 0.63 | ml | 0.70 | icu | 0.61 | org | 0.72 | work | 0.76 | cf | 0.82 | gq | 0.67 |
| cn | 0.65 | tk | 0.73 | ga | 0.64 | tk | 0.75 | ru | 0.77 | ml | 0.85 | ml | 0.71 |
| ru | 0.67 | org | 0.75 | top | 0.66 | cf | 0.77 | co | 0.79 | ga | 0.88 | cn | 0.74 |
| icu | 0.68 | cf | 0.77 | pw | 0.68 | xyz | 0.79 | info | 0.80 | gq | 0.91 | xyz | 0.77 |
| xyz | 0.70 | ga | 0.79 | net | 0.70 | ga | 0.80 | org | 0.81 | top | 0.92 | net | 0.80 |
表1 登録ドメイン数の多いTLDとさまざまなカテゴリにおける累積分布
先に述べたように、「.com」のTLDは登録されたドメインの半数近くを占めています。それにともない、悪性ドメインの約半数も占めています。これは、.com TLDが悪性であることを意味しませんが、.com TLDの運営者は、悪性ドメインの登録の一掃に協力できるというユニークな立ち位置にあります。このことは .net、.org、.tk、.cn、.icu、.xyzなどの他の大規模TLDにも当てはまります。
また表1では、.pw、.ml、.club、.cf、.top などの TLD は、特定の種類の不正使用ではトップ10に入っていますが、登録数の多いTLDのトップ10には入っていません。ここに犯罪者の選好が明確に表れています。.xyz TLDは、ドメイン登録総数のトップ10 TLDにはかろうじてランクインしている程度ですが、フィッシングドメイン数では .com TLDに次いで多く、グレイウェアドメインの登録数では最も多くなっています。TLDオペレータの中には、サイバー犯罪に対抗しようとするものもあり、たとえば .xyzの場合 不正使用防止ポリシーにより悪意のあるドメイン名を調査し対策を講じることができます。サスペンドないしテイクダウンの対象となるドメインをピンポイントで特定することは難しいため、特定のTLDオペレータはそのようなドメインを報告しやすいようにしています(例:.xyz)。
逆に、.deや.ukなどの大規模TLDは、どの悪質カテゴリでもトップ10リストに入っていません。これらのTLDは、いずれも悪性ドメイン数が平均を大幅に下回っており、誠実なTLDレジストリが悪用を抑制できることを示しています。
フィッシングドメインの多いTLDトップ10の半分は、ドメイン登録総数最多TLDのトップ10にはランクインしていないことから、フィッシングの実行者たちはある種のTLDを好むことを示す証拠となっています。これら5つのTLDのフィッシングドメインを無作為に抽出してみると、ソーシャルネットワーク、決済ソリューション、安全なメッセージングアプリ、Webメールプロバイダなど、最大手のハイテク企業ブランドを狙ったものが多いことがわかります。なお、ブランドをターゲットとするフィッシングドメインは、こちらのサイバースクワッティングのブログ記事で紹介したように、異なるドメインスクワットカテゴリに分類されます。また私たちは、「login(ログイン)」、「support(サポート)」、「account(アカウント)」などの言葉を含む、より汎用的なフィッシングドメインも数多く確認しています。フィッシングドメインの3つ目のカテゴリは、COVID-19(新型コロナウイルス感染症)など特定のトレンドになっているトピックに関連するものです。私たちは、この感染症の拡大の比較的初期に COVID-19関連のドメインを深く掘り下げ ました。
さらに、.pwや.tkなどの一部のccTLDでは、悪性ドメインの登録数が目に見えて多く、これらの地域の人口に匹敵するか、それ以上の数になっています。また、.tk TLDには、トケラウ島の人口よりも多くのフィッシングドメインが登録されています。これらのccTLDとドイツの.de ccTLDの人口比(一人当たりの悪性ドメイン数)を比較すると、数百倍から数十万倍の比率になっています。たとえば、.tk、.pw、.wsは、.deに比べ、それぞれ27万1,768倍、2,373倍、610倍となっています。フィッシングドメインに限ってみると、.tkと.pwでは、同じ人口比が .deに比べ、それぞれ46万2,098倍と2万286倍になっています。
| ccTLD | .de ドメインの一人当たりの悪性ドメイン数を1とした場合の比 | .de ドメインの一人当たりのフィッシングドメイン数を1とした場合の比 |
| .tk | 271,768 | 462,098 |
| .pw | 2,373 | 20,286 |
| .ws | 610 | 11.44 |
表2 一人当たりの悪性ドメインとフィッシングドメインを、悪性ドメイン率が比較的低い.deと、悪用の多いTLDである.tk、.pw、.wsとで比較
ドメイン名の世界で最も魅力的な物語の1つは、トケラウという太平洋の小さな島のccTLDである.tkが、世界で最も登録数の多いTLDの1つになったことです。一時はドメイン登録がトケラウの収入の6分の1を占めていたこともありました。彼らのTLDは、ドメイン登録料ではなく広告から収入を得る無料のドメイン登録を提供したことで人気を博しました。残念ながら、表1を見てわかるように、彼らのドメイン登録ポリシーは、悪用、スパム、大量のセンシティブなコンテンツを招くものでもあります。
実際、Freenomが運営する.tk、.ga、.cf、.mlというTLDは、フィッシングサイトをホスティングしているドメインのトップTLDリストに名を連ねており、そのうちいくつかのTLDはほかの悪性カテゴリのトップTLDリストにもランキングしています。Freenomの5番目のTLDである「.gq」も、センシティブカテゴリのトップリストに登場し、悪意のあるカテゴリのトップ10にはかろうじてランク外でした。なお、これらのccTLDはすべて発展途上国が所有しており、登録されたドメインからの収入が、悪意のある登録から生じる問題を上回る可能性があります。これは、.deのようなTLDでは、サイバー犯罪による金銭的損失がドメイン登録による収入を上回っているのとは対照的です。
無料で登録できるTLDに加え、.xyzや.icuなどのTLDは、安価なドメインを提供するという別の戦略をとっていて、その値段は通常数ドル程度です。この価格戦略のおかげで、これら2つのTLDは、良質・悪質をとわず、ユーザーから最も人気のあるTLDになりました。その人気の高さゆえに、.xyz のケースのように、問題のあるドメインに対抗しようと思ってもそれが難しい場合があります。
私たちは「無料や安価なドメイン登録は高いレベルの悪用につながる」というこれまでの調査結果を確認しています。さらに同じ報告書で私たちは「登録制限で乱用率は下がる」ことも確認しています。悪意のある登録を減らすため、登録ポリシー戦略を考案しようとするリサーチャーも存在します。残念ながら、ドメイン名のエコシステムは複雑で、近い将来に大きな変化が起こることは考えにくいでしょう。
悪性ドメイン率が高いTLD
| 悪意のある | フィッシング | Malware (マルウェア) | Grayware (グレイウェア) | C2 | |||||
| TLD | MAD | TLD | MAD | TLD | MAD | TLD | MAD | TLD | MAD |
| zw | 30.37 | pw | 43.48 | zw | 38.05 | SBS | 89.66 | cyou | 7.95 |
| bd | 26.18 | quest | 32.00 | bd | 30.98 | tokyo | 66.08 | pw | 6.72 |
| ke | 25.38 | ke | 17.28 | ke | 28.69 | xyz | 40.94 | ws | 4.25 |
| am | 18.48 | date | 15.47 | am | 24.46 | cam | 21.21 | gq | 4.03 |
| SBS | 17.58 | cyou | 13.80 | cd | 16.07 | date | 18.56 | cf | 3.84 |
| date | 15.38 | support | 11.38 | date | 13.12 | cm | 16.21 | ml | 3.81 |
| pw | 13.35 | win | 8.55 | bid | 12.81 | casa | 15.78 | ga | 3.36 |
| quest | 11.92 | rest | 7.14 | ml | 12.00 | uno | 11.77 | info | 2.93 |
| cd | 11.88 | casa | 6.45 | ws | 10.68 | 8.39 | su | 2.74 | |
| bid | 10.96 | help | 5.47 | icu | 9.08 | stream | 7.38 | best | 2.44 |
表3 悪性ドメイン率の高いTLD
ここでは、Median Absolute Deviation (中央絶対偏差)のスコアを「MAD」としています。MADは、中央値からの絶対的偏差(=ばらつき具合)の中央値のことです。表3に示すように、私たちは、あるTLD内にある全ドメインに対する悪性ドメインの比率をMADスコアとして算出しました。TLDを中央値と比較するために、MADスコアを悪性のレピュテーションとして使用しています。外れ値が大きくて平均値が偏ってしまう場合はMADスコアが標準偏差よりも適しています。たとえば、-0.06という標準偏差を考えた場合、.com TLDの悪性度は平均近くであるように見えます。ところがこのMADスコアは0.81であることから、.com TLDは中央値のTLDより悪性度が高いことがわかります。
表3を見ると、悪性度の割合の高いTLDであっても、数でみた場合は上位のTLDにほとんどおよばないものが見られます。たとえば.zw、.bd、.keなどは、極端に、悪性ドメイン比率が高いTLDです。これらのTLDへのドメイン登録は、.com TLDへの登録に比べ、4倍から14倍の費用がかかるので、悪性度が高いのは予想外でしたが、驚くべいことに、これらのTLDに登録されている悪性ドメインのかなりの部分が、悪意を持って登録されたものではなく、侵害を受けていたものであることがわかりました。これらの地域の一人当たりのGDPは米国の30分の1から60分の1程度で、これらのTLDでWebサイトを立ち上げる予算や専門知識が少ないことが考えられます。その結果、ドメイン名のランダムサンプリングからも分かる通り、Webサイトの品質が低くなり、セキュリティホールが増えていることが予想されます。
1つ興味深いケースが、フィッシング(第12位)とグレイウェア(第6位)で上位のTLDである.cmでしょう。私たちは、犯罪者が.comに似た.cmをフィッシング攻撃に好んで使用しており、このTLDで登録されたドメインは、フィッシング攻撃で目立たなくさせることができるのではないかと推測しています。
センシティブなTLDカテゴリ
| TLD | 比率 | MAD |
| casino | 0.88 | 54.05 |
| xxx | 0.86 | 52.67 |
| poker | 0.84 | 51.22 |
| porn | 0.81 | 49.88 |
| bet | 0.66 | 40.35 |
| sex | 0.60 | 35.97 |
| sexy | 0.54 | 32.39 |
| adult | 0.39 | 22.74 |
| gq | 0.29 | 16.63 |
| webcam | 0.26 | 14.57 |
表4 センシティブカテゴリのカテゴリ別のトップTLD
パロアルトネットワークスでは悪性コンテンツと並んで企業がブロックしたいと考えているセンシティブなカテゴリやリスクの高いカテゴリも追跡しています。たとえば教育機関や政府機関ではアダルトサイトやギャンブルサイトをブロックしたい場合が多いでしょう。弊社製品をお使いのお客様は、External Dynamic List(外部ダイナミックリスト)機能を使うことで、センシティブなカテゴリに特化したTLDである.xxxや.casinoなど、TLD全体をブロックすることができます。
表4では、いくつかのTLDで、センシティブのカテゴリに属するドメインの割合が高いことがわかります。私たちは数々のセンシティブなカテゴリを追跡していますが、センシティブなカテゴリに特化したTLDのトップリストに入ったのはそのほとんどがアダルトとギャンブルのTLDでした。また、特定TLDでよく見られるカテゴリとしては「Proxy Avoidance and Anonymizers(プロキシ回避とアノニマイザ)」があげられます。これは .gq、.ga、.ml、.tkなどのTLDでよく見られます。
結論
悪性ドメインの大部分は、ひと握りのTLDで見つかることがわかっており、これがTLDがサイバー犯罪対策に役立つ機会を提供しています。また、中央値以上のMADスコアを持つTLDも多く見られ、ドメイン名を悪性か良性かに分類するTLDレピュテーションを考案できることが示唆されました。また、センシティブのカテゴリに特化したTLDも確認されていますが、弊社製品をお使いのお客様であれば「External Dynamic List(外部ダイナミックリスト)」機能でブロック可能です。
パロアルトネットワークスでは、Advanced URL FilteringやDNS Securityなどの複数のセキュリティサブスクリプションを提供しています。これらのサブスクリプションは、本稿で取り上げたような「悪意のある(malicious)」カテゴリのドメインや「センシティブ(sensitive)」なカテゴリのドメインをブロックする用途に利用できます。
謝辞
本稿に対し貴重なご意見をくださったArun Kumar氏、Daiping Liu氏、Erica Naone氏、Laura Novak氏、Oleksii Starov氏に感謝いたします。
2022-01-05 11:45 JST 英語版更新日 2021年12月16日 08:09 PST の内容を反映
脅威リサーチ
脅威アクター グループ
トレンド レポート
主なサイバー脅威
Unit 42 からの最新情報を取得