ドメインの乱用とは?

ドメイン不正利用の解明:より安全なインターネットのために、インターネットドメインとメールアドレスの不正使用と不正活動を探る。

by

読書時間 8
ドメインの乱用とは?
目次-

ドメインの悪用は、ドメイン・システムの残念な欠点です。この悪用は、ドメイン名が悪意のある目的やその他の種類の非倫理的な活動のために登録された場合に発生します。

速やかに発見され、処罰されない限り、ドメイン名の正当な所有者の評判に多大な損害を与えることになりかねない。

このブログでは、ドメインの不正使用について、また、不正使用を未然に防ぐ方法について詳しく説明します。

ドメイン濫用の概要

ドメインの悪用はサイバー犯罪の一般的な形態であり、報告される攻撃も増えている。

ドメインの不正使用は、ドメイン名が違法な目的またはドメイン名の意図された使用と一致しない目的で使用される場合に発生します。所有者はそのような使用について意図も知識もない場合があります。

ICANNドメイン濫用活動報告(DAAR)システムを開発しました。ICANNはそのシステムにおいて、いくつかの主要なタイプのセキュリティ脅威を認識しています:

  • SEOスパム ドメインを使用して、他のウェブサイトにリンクする低品質なページを作成し、検索エンジンのランキングを操作すること。
  • リンク・スキーム無関係なウェブサイト間のリンクを作成し、そのサイトへのトラフィックを増やすことのみを目的とすること。
  • マルウェア配布 ウェブサイト上でマルウェアをホストし、訪問者を感染させること。
  • スパムメール合法的に見えるドメインからスパムメールを送信すること。

最も一般的なドメインの悪用

ドメインの濫用で最も一般的なものは、以下のようなものである:

タイポスクワッティング

タイポスクワッティング はサイバースクワッティングの一種で、有名な組織のドメイン名と似たドメイン名を登録し、ユーザーがURLを間違って入力し、タイポスクワッターのウェブサイトにたどり着くことを期待するものである。

タイポスクワッターはその後、サイトの広告スペースを売ろうとしたり、別のインターネット詐欺に利用しようとするかもしれない。

フィッシング

フィッシング攻撃は、信頼できる送信元からのように見せかけながら、悪意のあるリンクや添付ファイルを含む電子メールやテキストを送信するものです。

タイポスクワッティングは、ユーザーを騙して電子メールやソーシャルメディア上のリンクをクリックさせるために、タイポスクワッティングとともに使用されることが多い。

サイバースクワッティング

サイバースクワッティングとは、商標名をドメイン名として登録し、後で転売することで利益を得たり、スパムやその他の不正行為のプラットフォームとして使用することを指す。

ドメイン乱用がブランドの信頼と評判に与える悪影響

タイポ・スクワットやなりすましなど、ドメインの悪用は、あらゆる規模の組織にとって重大なセキュリティ上の課題となっている。

攻撃者は、そっくりなドメインを悪用して顧客や従業員を標的にし、クレデンシャルの盗難、風評被害、潜在的な金銭的損失につながる。

タイポスクワッティングを特定し、対処することの難しさは、新規ドメイン登録の可視性の欠如にある。

ドメイン不正利用の解明:検知と識別のための高度なテクニック

ドメイン濫用の検出と識別は、複数の構成要素を含む複雑なプロセスである。

DNSフォレンジックと分析

DNS フォレンジックは、不正なドメイン名の登録、転送、またはその他のドメインの不正使用の証拠がないか、DNSアクティビティを調査します。

脅威インテリジェンスの統合

脅威インテリジェンスの統合により、企業はサードパーティのデータソースと過去の脅威インテリジェンスデータを活用することで、悪意のある目的で使用されている新しいドメインを特定することができます。

これにより、お客様の環境内でこれまで特定されていなかった攻撃ベクトルに対する保証がさらに強化されます。

ドメイン活動の行動分析

行動分析では、以下の行動を監視することで、環境内のドメインの活動を可視化します:

ドメインが所有するIPアドレス範囲での活動 (例:C2ホストのIPアドレス)

Domain name server (DNS) requests to resolve backdoors on subdomains of primary domains (e.g., www.<malicious_domain>).

WHOISデータの監視と分析

ドメインの不正使用を検出する一般的な方法は、自分のドメインまたは自分が所有する他のドメインで登録されたドメインのWHOISデータを監視することです。

多くのドメインレジストラは、月額料金(GoDaddyなど)を支払う必要があるプレミアムサービスを提供していること、またはホストしているドメインに関する特定の情報を監視するたびに料金を請求する(Namecheapなど)ことを知っておくことが重要です。

機械学習ベースのドメイン評判スコアリング

サポートベクターマシン(SVM)や人工ニューラルネットワーク(ANN)などの機械学習アルゴリズムは、ドメイン名の文字列のパターンを検出するために使用される。これらのパターンは、悪意のある目的に使用される可能性の高いドメインを検出することができます。

パターンは、ドメイン名に関連するWHOIS情報(登録者情報、レジストラ情報など)を分析することで検出できます。この種の分析はフィンガープリンティングとして知られています。

ドメイン・フィンガープリンティングとパターン認識

フィンガープリンティングでは、一連の属性が与えられたドメイン名について決定される(例えば、文字数、ハイフンなど)。

そして新しいドメインに遭遇すると、このフィンガープリントと比較され、既知の悪いドメインのひとつと一致するかどうかが判断される。

パターン認識では、既知の悪いパターン(例えば、第3レベルドメインの一部である "xyz")のセットを使って、未知のドメインがそれに一致するかどうかを判断する。

ドメインの悪用から守る効果的な保護戦略

この脅威から顧客、従業員、パートナーを守るためには、ドメイン管理戦略に一連のベストプラクティスを導入する必要がある。

ドメイン乱用防止のためのトリプルディフェンス:DMARC、SPF、DKIMの実装

  • ドメインベースのメッセージ認証報告と適合性(DMARC)は、SPFとDKIMの両方を活用してドメインの不正使用を防止する包括的なポリシーフレームワークです。DMARCを使用すると、ドメインの所有者は、SPFとDKIMのチェックに失敗した電子メールに対して実行されるアクションを指定することができます。

ドメイン・オーナーは、このような電子メールを監視、隔離、または拒否することを選択できる。さらに、DMARCによって、ドメイン所有者は、自分のドメインから送信された電子メールの認証結果に関するレポートを電子メールプロバイダから受け取ることができる。 

これらのレポートは、不正なメール使用やドメイン不正使用の可能性について貴重な洞察を提供します。DMARCを活用することで、ドメイン所有者はフィッシングやなりすましメールなどの悪意のある行為によるドメインの不正使用を積極的に防ぐことができます。

  • SPF(Sender Policy Framework)は、管理者がドメインの不正使用を防ぐために使用するメール検証システムです。SPFは、なりすましメールの防止に役立つため、ドメインの不正使用に対する強力な防御策となります。ドメインに対して認可されたメールサーバーを指定することで、SPFは正当なサーバーだけがそのドメインを代表してメールを送信できるようにします。

送信サーバーが認証されていない場合、メールは疑わしいものとしてフラグが立てられるか、完全に拒否され、メール偽造によるドメイン濫用の試みを阻止する。

  • DKIM(DomainKeys Identified Mail)は、インターネット上で送信される電子メールの送信元を確認するための暗号方式です。DKIMは、電子メールの完全性を保証することにより、ドメインの不正使用に対する追加の保護層を提供します。DKIMは、電子メールのコンテンツが転送中に変更されていないこと、および電子メールが本当に請求されたドメインから発信されていることを確認します。これは、改ざんされた電子メールに関連するドメインの不正使用を防止し、電子メールの信頼性を強化するのに役立ちます。

SPF、DKIM、およびDMARCは、ドメインの不正使用に対抗する電子メール認証メカニズムの強固なトリオを形成しています。これらは、無許可の第三者がドメインを代表してメールを送信することを防ぎ、メールの完全性を保証し、不正使用の可能性について貴重なフィードバックを提供します。

DNSSEC (ドメインネームシステムセキュリティ拡張)

DNSSECは、ドメインネームシステム(DNS)の拡張機能スイートで、IPアドレスのみに基づく信頼ではなく、公開鍵暗号方式によるDNSデータの認証を可能にする。

DNSスプーフィングや、サイバー犯罪者がユーザーを悪意のあるウェブサイトにリダイレクトしたり、パスワードやクレジットカード番号などの機密情報を傍受したりするために使用されるキャッシュポイズニングなどのDNSポイズニング攻撃を防ぐために作成された。

関連記事 DNS認証とは?

ドメイン管理のためのTFA/MFA(二要素認証/多要素認証

TFA/MFAは、アカウントやサービスへのアクセスに2つ以上の異なる認証方法を要求するセキュリティ機能です。

これは、アクセスを許可する前に、ユーザーに複数のチャネルを通じて本人確認を要求することにより、不正アクセスを防止するのに役立つ。

これは、物理的なハードウェアトークンや、パスワードやPIN(個人識別番号)と併用するSMSコードを使用することで実現できる。

関連する読み方 メール多要素認証

TLS/SSL証明書とHTTPSエンフォースメント

A TLS/SSL証明書は、インターネット上で送信される機密データを暗号化することで保護し、正しい鍵を持つ人だけがそのデータを読めるようにするために使用されます。

ウェブサーバーとブラウザーの間で送信されるデータが、プライベートで安全な状態に保たれることを保証します。同時に、インターネット上で送信されるため、送信中に第三者がこの情報にアクセスすることを防ぎます。

関連記事 TLS暗号化とは何か?

DDoS緩和とトラフィックフィルタリング

A 分散型サービス拒否(DDoS)攻撃複数のコンピューターがウェブサイトを大量のトラフィックであふれさせ、一般ユーザーがアクセスできなくなることで発生する。

この種の攻撃は、騙されて攻撃に参加させられた被害者のコンピュータからのトラフィックで過負荷をかけることにより、ウェブサイトをダウンさせることを目的としている。

DDoS緩和サービスは、悪意のあるトラフィックがウェブサイトやアプリケーションサーバーに到達する前にフィルタリングすることで、この攻撃を防ぐことができます。

関連記事 DoS攻撃とDDoS攻撃を理解する

TI統合によるDRSの使用

ドメインの不正利用を防止・軽減するためには、予防策と事後対策という2つの主要な戦略がある。

予防的な対策は、悪質な行為者がドメインを登録したり、オンラインでその他の悪質な行為を行う前に阻止することに重点を置き、事後的な対策は、悪質な行為者がすでに詐欺や不正行為を行った後に検出することに重点を置く。

ドメインの不正使用を報告するには?

ドメインの不正使用を報告することは、安全でセキュアなオンライン環境を維持するために不可欠なステップです。ドメインの不正使用は、スパム、フィッシング、マルウェアの配布、著作権の侵害、その他の悪質な行為など、さまざまな形で行われる可能性があります。不正行為を行っているドメインに遭遇した場合は、以下の手順に従って報告してください:

  1. 情報収集:報告書を提出する前に、悪用されているドメインに関する関連情報をできるだけ多く収集しましょう。これには、ドメイン名、特定のURL、スクリーンショット、Eメールのヘッダー、その他あなたの主張を裏付ける証拠が含まれます。
  2. 虐待行為を特定する:ドメインが関与している不正使用のタイプ(スパム、フィッシング、マルウェアなど)を特定する。
  3. ドメインレジストラに連絡する:ドメインレジストラに連絡することから始めます。ICANNのWHOISルックアップ(https://whois.icann.org/)などのWHOISルックアップツールを使用してレジストラの情報を見つけることができます。結果の中から「Registrar Abuse Contact Email」または「Registrar Abuse Contact Phone」を探します。レジストラに連絡し、不正使用の証拠と不正使用ドメインの詳細を提供してください。
  4. ホスティングプロバイダーへのお問い合わせ:不正行為がコンテンツのホスティングに関与している場合は、問題のウェブサイトまたはコンテンツをホスティングしているホスティングプロバイダに連絡します。レジストラを見つけるのと同様に、WHOIS情報を使用してホスティングプロバイダを特定し、その不正使用の連絡先の詳細を調べます。不正使用の証拠も提供する。
  5. 関係当局への報告:不正利用の内容によっては、関係当局に報告する必要があります。例えば、フィッシング攻撃の場合は、Anti-Phishing Working Group(APWG)や米国連邦取引委員会(FTC)などの組織に報告する必要があります。著作権侵害の場合は、ウェブサイトのホスティング・プロバイダーに連絡するか、重大な違反であればDMCAテイクダウン通知を提出する。
  6. オンライン虐待報告フォームを利用する:多くの組織や企業が、不正利用を報告するためのオンラインフォームを提供している。例えば、Googleにはフィッシングサイトやその他の不正利用を報告するための専用フォームがあります。
  7. インターネット・サービス・プロバイダー(ISP)を知らせる:悪用ドメインがISPを通じてスパム送信やその他の悪用行為を行っている場合は、ISPに直接連絡し、必要な証拠を提供してください。
  8. CERT(コンピュータ緊急対応チーム)への報告:CERTは、特定の地域や分野のサイバーセキュリティインシデントを扱うチームです。あなたの国や組織にCERTがある場合は、ドメインの不正使用もCERTに報告することができます。

最後の言葉

ドメインの不正利用を理解することは、デジタル環境の完全性を守る上で極めて重要である。インターネットは私たちの日常生活に欠かせないものとなっていますが、その存在感が増すにつれ、ドメインの不正利用が重大な脅威として浮上しています。フィッシング詐欺やマルウェアの配布から、偽造ウェブサイトや知的財産の侵害に至るまで、ドメインの悪用はさまざまな形で行われ、その影響は壊滅的なものになりかねません。 

ユーザー、ウェブサイトの所有者、そして組織として、私たちはこの脅威と闘うために警戒を怠らず、積極的に行動しなければなりません。強固なセキュリティ対策を採用し、ドメインの活動を定期的に監視し、疑わしい行動を速やかに報告することは、ドメインの不正使用を抑制するために不可欠なステップです。さらに、個人や企業の間でドメインの不正使用に関連するリスクについての認識を高めることは、すべての人にとってより安全なオンライン環境を促進することにつながります。 

ドメインレジストラ、法執行機関、インターネットガバナンス団体と協力することで、私たちはデジタル領域をすべての人にとって信頼、革新、および機会の場とするために一丸となって努力することができます。ドメイン名の神聖性を保護し、私たちが今日、そしてこれからの世代のために大切にしているオープンでアクセスしやすく安全なインターネットを維持するために協力しましょう。

ドメイン乱用

 

最新記事 by Ahona Rudra(全て見る)
ジェネレーティブAIのサイバーセキュリティ・リスクジェネレーティブAIのサイバーセキュリティ・リスクドメイン乱用マイクロソフトOLCメール配信ガイド