悪意のある新規登録ドメインとは
新型コロナ パンデミックに成長のチャンスを与えられた業種はわずかですが、サイバー犯罪よりもチャンスを与えられた業種はさらにわずかです。認証情報の盗難やデータの抜き取りは、昨今、珍しいことではなく、これらを行う最も簡単な方法は、悪意のある新規登録ドメインから実行する方法です。
ドメイン名はインターネットの道しるべであり、ユーザーはドメイン名に依拠してオンラインで商品やサービスにアクセスします。企業にとって、ドメイン名は価値のあるブランド資産です。
毎日、何千もの新規登録ドメイン(NRD)が登場しており、その多くは新製品の発表、新規サイトのホスト、新規ブランドの創出など正当な役割を果たしています。しかし、大多数は疑わしいものであり、その多くが悪意のあるものです。
最新のフィッシング攻撃の進化
過去32日以内に登録された、あるいは所有者が変更されたドメインは、新規登録ドメインとみなされます。悪意のあるNRDの背後にいるアクターは、多くの場合、ユーザーがだまされてアクセスすることを願って、正規のブランド ドメインとわずかに異なる亜種を作成します。こうしたドメインの多くは、短期の間のみ有効であるため、検出が困難になっています。2019年5月29日に初めて登録されたドメインsoroog[.]xyzは、こうしたドメインの一例です。1ヶ月以内の2019年6月27日に消滅しましたが、この悪意のあるドメインは数え切れないほどの攻撃に使用されました。
悪意のあるNRDはどのくらい一般的か?
悪意のあるNRDは、新たなサイバー犯罪ツールではありません。しかし、新型コロナ パンデミックの初めの数ヶ月、多くの人々が家にとどまっていたため、新型コロナ関連の悪意のあるNRDの数は増加しました。その理由は、簡単に理解できます。新規ドメイン名の登録は簡単であり、特別なスキルは不要です。さらに、時間さえあれば、悪意のあるコードの挿入はそれほど複雑ではありません。
多くの企業セキュリティ システムは新規ドメインにフラグを立てないため、サイバー犯罪者はドメインが有効なまま、自由に攻撃を実行できます。これが、迅速な検出と防御的なセキュリティ対策が重要な理由です。
悪意のあるNRDの使用
悪意のあるNRDを使用して、ウォレットやクレジット カード情報などの機密データを流出させることができます。悪意のあるNRDは、主に以下で使用されます。
- フィッシング攻撃: 一般に電子メールで送信され、なじみのある一般的なドメインに似たドメインが、何も知らないユーザーをそそのかしてリンクをクリックさせます。たとえば、ドメインcanada-neflxt[.]comは、Netflixの認証情報と請求情報を盗もうとするアクティブなフィッシング サイトでした。
- コマンド&コントロール(C2): ドメインsoroog[.]xyzでは、作成されたその日に、C2用のマルウェアが使用されました。マルウェアは通常、「家に電話をかけて」コマンドを取得するか、データの引き出しを実行します。
- マルウェアの配信: これには、ウイルス、ワーム、トロイの木馬が含まれます。最初の配信は、一般にフィッシング攻撃や侵害したWebサイトを通じて行われます。
迅速な検出の重要性
悪意のあるNRDは、発見が困難です。企業ネットワークの安全を保つには、迅速かつ信頼性の高い検出が必要です。セキュリティ システムがNRDにフラグを立てることができ、悪質な意図を予測するための十分な知性を備えていることが理想です。そこから、セキュリティ システムは悪意のあるNRDをブロックし、セキュリティ担当者向けのアラートを作成できます。セキュリティ担当者はさらに調査を行い、企業のポリシーに基づいてどのように対処するかを決定します。
パロアルトネットワークスのDNSセキュリティを使用した悪意のあるNRDからの保護方法をご確認ください。
悪意のあるNRDの詳細については、Unit 42®による新規登録ドメイン: 悪意のある攻撃者による悪用をお読みください。
