MailData

ドメインの不正利用とは?

ドメインの不正利用とは?

2024年1月25日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 What is Domain Abuse? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。


ドメインの不正利用とは、ドメインシステムの残念な弱点です。
この不正利用は、ドメイン名が悪意のある目的やその他の不道徳な活動のために登録された時に発生します。
速やかに検出され処罰されない限り、これはドメイン名の正当な所有者の評判に多大な損害を与える可能性があります。

このブログでは、ドメインの不正利用についてもっと話し、そもそも被害を受けないためにどうすればいいかについて話します。

ドメインの不正利用の概要

ドメインの不正利用は、増加する攻撃が報告されている一般的なサイバー犯罪の形態です。
ドメインの不正利用は、ドメイン名が違法な目的やドメイン名の意図された使用と一致しない目的で使用される場合に発生します。
所有者はそのような使用について意図も知識も持っていないかもしれません。

ICANNは、様々なタイプのドメインの不正利用を識別し追跡するために、ドメイン不正利用活動報告(DAAR)システムを開発しました。
彼らはシステム内でいくつかの主要なセキュリティ脅威を認識しています。

SEOスパム
他のWebサイトにリンクする低品質のページを作成することで、検索エンジンのランキングを操作するためにドメインを使用します。
リンクスキーム
それらのサイトへのトラフィックを増加させるためだけに、関連性のないWebサイト間でリンクを作成します。
マルウェアの配布
訪問者を感染させるために、Webサイト上でマルウェアをホスティングします。
スパムメール
合法的に見えるドメインからスパムメールを送信します。

ドメインの不正利用の最も一般的な形態

ドメインの不正利用の最も一般的な形態は以下のとおりです。

タイポスクワッティング
タイポスクワッティングは、サイバースクワッティングの一形態で、著名な組織のドメイン名に似たドメイン名(※)を登録し、ユーザーがURLを誤って入力し、タイポスクワッターのWebサイトにたどり着くことを期待しています。
タイポスクワッターは、そのサイトで広告スペースを売ったり、別のインターネット詐欺に使用したりするかもしれません。
フィッシング
フィッシング攻撃は、信頼できるソースからのものに見えるが、悪意のあるリンクや添付ファイルを含むメールやテキストを送信することを含みます。
これらは、電子メールやソーシャルメディアのプロファイルでリンクをクリックするようユーザーをだますために、タイポスクワッティングと共によく使用されます。
サイバースクワッティング
サイバースクワッティングは、商標名をドメイン名として登録し、後でそれらを転売したり、スパム送信やその他の悪用のためのプラットフォームとして使用したりすることで利益を得ることを指します。

※訳注: Cousin Domain(カズンドメイン)とも云います。

ブランドの信頼と評判に対するドメインの不正利用の悪影響

タイポスクワットやなりすましを含むドメインの不正利用は、すべての規模の組織にとって重大なセキュリティ上の課題を提起します。
敵対者は、類似ドメインを悪用して顧客や従業員をターゲットにし、認証情報の盗難、評判への損害、および潜在的な財務損失を引き起こします。

タイポスクワッティングを特定し対処する難しさは、新しいドメイン登録への可視性の欠如にあり、これが結果として悪意のあるコンテンツのリアクティブな除去につながり、しばしば大きな損害を受けた後になります。

ドメインの不正利用を解明する:検出と識別のための高度な技術

ドメインの不正利用の検出と識別は、複数のコンポーネントを含む複雑なプロセスです。

DNSフォレンジックと分析
DNSフォレンジックは、不正なドメイン名の登録、転送、またはその他のドメインの不正利用の証拠のためにDNS活動を調査します。
脅威インテリジェンスの統合
脅威インテリジェンスの統合により、組織は第三者のデータソースと歴史的な脅威インテリジェンスデータを活用することで、悪意のある目的で使用されている新しいドメインを特定できます。
これは、環境内で以前に特定されていなかった攻撃ベクトルに対する追加の保証層を提供します。
ドメイン活動のための行動分析
行動分析は、ドメインの活動に対する可視性を提供し、以下の行動を監視することで、環境内のドメインの活動を観察します。
  • ドメインが所有するIPアドレス範囲の活動(例:C2ホストIPアドレス)
  • プライマリドメインのサブドメイン上のバックドアを解決するためのドメインネームサーバー(DNS)リクエスト(例:www.悪意のあるドメイン)。
WHOISデータの監視と分析
ドメインの不正利用を検出する一般的な方法は、自分のドメインや所有する他のドメインで登録されたドメインのWHOISデータを監視することです。
多くのドメイン登録業者が、月額料金を支払うプレミアムサービス(GoDaddyのように)を提供しているか、またはホストしているドメインに関する特定の情報を監視したい場合に料金を請求する(Namecheapのように)ことを知っておくことが重要です。
機械学習に基づくドメイン評判スコアリング
サポートベクターマシン(SVM)や人工ニューラルネットワーク(ANN)などの機械学習アルゴリズムは、ドメイン名の文字列におけるパターンを検出するために使用されます。
これらのパターンは、悪意のある目的で使用される可能性のあるドメインを検出することができます。
パターンは、ドメイン名に関連するWHOIS情報(登録者情報、登録業者情報など)を分析することによって検出されます。
このタイプの分析はフィンガープリンティングとして知られています。
ドメインフィンガープリンティングとパターン認識
フィンガープリンティングでは、特定のドメイン名に対して一連の属性が決定されます(例:文字の数、ハイフンの数など)。
次に、新しいドメインが遭遇した場合、既知の悪意のあるドメインの1つと一致するかどうかを判断するために、このフィンガープリントと比較されます。
パターン認識では、既知の悪いパターンのセット(例:サードレベルドメインの一部としての「xyz」)が使用され、未知のドメインが一致するかどうかを判断します。

ドメインの不正利用に対する防御:保護のための効果的な戦略

この脅威から顧客、従業員、パートナーを保護するためには、ドメイン管理戦略において一連のベストプラクティスを実施する必要があります。

ドメインの不正利用保護のための三重防御:DMARC、SPF、DKIMの実装

DMARC
ドメインベースのメッセージ認証報告&適合性(DMARC)は、ドメインの不正利用に対抗するためにSPFとDKIMの両方を活用する包括的なポリシーフレームワークです。
DMARCを使用すると、ドメイン所有者はSPFとDKIMのチェックに失敗したメールに対して取るべき行動を指定できます。
彼らは、そのようなメールを監視、隔離、または拒否することを選択できます。
さらに、DMARCはドメイン所有者がメールプロバイダーから自分のドメインから送信されたメールの認証結果についてのレポートを受け取ることを可能にします。
これらのレポートは、不正なメール使用と潜在的なドメインの不正利用の試みに関する貴重な洞察を提供します。
DMARCを活用することで、ドメイン所有者は自分のドメインの悪意のある活動、例えばフィッシングやメールのなりすましに対する不正使用を積極的に防ぐことができます。
SPF
SPF(Sender Policy Framework)は、ドメインの不正使用を防ぐためにシステム管理者が使用するメール検証システムです。
SPFはメールのなりすましを防ぐのに役立つため、ドメインの不正利用に対する強力な防御手段です。
ドメインのためにメールを送信できる正規のサーバーを指定することで、SPFはそのドメインを代表してメールを送信できるのは正規のサーバーのみであることを保証します。
送信サーバーが許可されていない場合、メールは疑わしいものとしてフラグが立てられるか、完全に拒否され、メール偽造を通じてのドメインの不正利用の試みを阻止します。
DKIM
DKIM(DomainKeys Identified Mail)は、インターネット上で送信されるメールの出所を検証するための暗号化方法です。
DKIMはメールの整合性を保証することによってドメインの不正利用に対する追加の保護層を提供します。
それはメールの内容が転送中に変更されていないこと、そしてメールが実際に主張されたドメインから発信されていることを確認します。 この仕組みによって、メール改竄に関連するドメインの不正利用を防ぎ、メールの信頼性を強化します。

SPF、DKIM、DMARCは、ドメインの不正利用に共同で対抗する、堅牢なメール認証メカニズムのトリオを形成します。
これらは、ドメインを代表してメールを送信する権限のない者からのメール送信を防ぎ、メールの整合性を保証し、潜在的な不正利用の試みに関する貴重なフィードバックを提供します。

DNSSEC(ドメインネームシステムセキュリティ拡張)

DNSSECは、IPアドレスのみに基づく信頼ではなく、公開鍵暗号化によるDNSデータの認証を可能にするドメインネームシステム(DNS)への拡張機能のスイートです。
DNSSECは、DNSスプーフィングやキャッシュポイズニングなどのDNSポイズニング攻撃を防ぐために作られました。
これらの攻撃は、サイバー犯罪者によってユーザーを悪意のあるWebサイトにリダイレクトしたり、パスワードやクレジットカード番号などの機密情報を傍受するために使用される可能性があります。

TFA/MFA(二要素認証/多要素認証)によるドメイン管理

TFA/MFAは、アカウントやサービスにアクセスするために2つ以上の異なる検証方法を必要とするセキュリティ機能です。
これは、アクセスを許可する前にユーザーが複数のチャネルを通じて自分の身元を確認することを要求することにより、不正アクセスを防ぐのに役立ちます。
これは、パスワードやPIN(個人識別番号)と共に使用される物理的なハードウェアトークンやSMSコードを使用して行うことができます。

TLS/SSL証明書とHTTPSの強制

TLS/SSL証明書は、インターネット上で送信される機密データを保護するために使用され、正しい鍵を持つ者だけが読むことができるようにデータを暗号化します。
これにより、Webサーバーとブラウザー間で送信されるデータがプライベートかつ安全に保たれることを保証します。
同時に、インターネット上でデータが送信されている間、第三者がこの情報にアクセスすることを防ぎます。

DDoS攻撃の軽減とトラフィックのフィルタリング

分散型サービス拒否(DDoS)攻撃は、複数のコンピューターが通常のユーザーがアクセスできなくなるほどの大量のトラフィックでWebサイトを洪水させる時に発生します。
このタイプの攻撃の目的は、攻撃に参加するようにだまされた被害者に属する侵害されたコンピューターからのトラフィックでWebサイトを過負荷にしてダウンさせることです。
DDoS攻撃軽減サービスは、悪意のあるトラフィックをWebサイトやアプリケーションサーバーに到達する前にフィルタリングすることで、この攻撃を防ぐのに役立ちます。

DRS(Disaster Recovery)とTI(Threat Intelligence)統合の使用

ドメインの不正利用を防止または軽減する際、主に2つの戦略があります。
予防策と対応策です。

予防策は、ドメインを登録したり、オンラインでその他の悪意のある活動を行う前に、悪意のある行為者を止めることに焦点を当てています。
対応策は、既に詐欺や悪用を行った後の悪意のある行為者を検出することに焦点を当てています。

ドメインの不正利用を報告するには?

ドメインの不正利用は、安全で安心なオンライン環境を維持するための重要なステップです。
ドメインの不正利用には、スパム、フィッシング、マルウェアの配布、著作権侵害、その他の悪意のある活動など、さまざまな形態があります。
不正な行為に従事しているドメインに遭遇した場合、以下のステップに従って報告してください。

1. 情報の収集
報告を行う前に、不正利用ドメインに関するできるだけ多くの関連情報を収集してください。
これには、ドメイン名、特定のURL、スクリーンショット、メールヘッダー、および請求をサポートできるその他の証拠が含まれる場合があります。
2. 不正行為の特定
ドメインが関与している不正利用のタイプ(スパム、フィッシング、マルウェアなど)を特定します。
異なるタイプの不正利用は、異なる実体に報告する必要がある場合があります。
3. ドメイン登録業者に連絡
ドメイン登録業者に連絡することから始めます。
ICANNのWHOISルックアップなどのWHOISルックアップツールを使用して、登録業者の情報を見つけることができます。
結果の中から「Registrar Abuse Contact Email」または「Registrar Abuse Contact Phone」を探します。
不正利用の証拠と不正利用ドメインの詳細を提供して連絡してください。
4. ホスティングプロバイダーに連絡
不正活動がコンテンツのホスティングを含む場合、問題のWebサイトまたはコンテンツをホスティングしているホスティングプロバイダーに連絡してください。
登録業者を見つけるのと同様に、WHOIS情報を使用してホスティングプロバイダーを特定し、その不正連絡先の詳細を探します。
不正利用の証拠を提供してください。
5. 適切な機関に報告
不正利用の性質によっては、関連する機関に報告する必要があります。
例えば、フィッシング攻撃は、Anti-Phishing Working Group(APWG)やアメリカ合衆国のFederal Trade Commission(FTC)などの組織に報告する必要があります。
著作権侵害の場合は、Webサイトのホスティングプロバイダーに連絡するか、重大な違反の場合はDMCAテイクダウン通知を提出できます。
オンライン不正利用報告フォームの使用
多くの組織や企業は、不正利用を報告するためのオンラインフォームを提供しています。
例えば、Googleはフィッシングサイトやその他のタイプの不正利用を報告するための専用フォームを持っています。
インターネットサービスプロバイダー(ISP)に通知
不正利用ドメインがISPを介してスパムを送信したり、その他の不正行為を行っている場合、ISPに直接連絡し、必要な証拠を提供してください。
CERT(コンピュータ緊急対応チーム)に報告
CERTは、特定の地域またはセクターのサイバーセキュリティインシデントを処理するチームです。
あなたの国や組織にCERTがある場合(※)、ドメインの不正利用もそこに報告することができます。

※訳注: 日本にはJPCERTがあります。

まとめ

ドメインの不正利用を理解することは、デジタル環境の完全性を守るために重要です。
インターネットは私たちの日常生活に欠かせない一部となっており、その重要性が高まるにつれて、ドメインの不正利用は顕著な脅威として浮上しています。
フィッシング詐欺やマルウェアの配布から偽造Webサイト、知的財産の侵害に至るまで、ドメインの不正利用は多様な形を取り、その影響は壊滅的です。

ユーザー、Webサイトの所有者、そして組織として、この脅威と積極的に戦うために警戒を怠らず、前向きに取り組む必要があります。
強力なセキュリティ対策を採用し、定期的にドメイン活動を監視し、疑わしい行動を迅速に報告することは、ドメインの不正利用を抑制するための重要なステップです。
さらに、個人やビジネスの間でドメインの不正利用に関連するリスクについての認識を高めることで、誰もが安全なオンライン環境を育むことができます。

ドメイン登録業者、法執行機関、インターネットガバナンス団体と協力することで、デジタル領域を信頼、革新、およびすべての人のための機会の場として共同で目指すことができます。
ドメイン名の神聖さを守り、私たちが今日そして将来の世代に渡って大切にしているオープンでアクセス可能で安全なインターネットを保持するために、一緒に働きましょう。