Simple Science

最先端の科学をわかりやすく解説

# コンピューターサイエンス# ネットワーキングとインターネット・アーキテクチャ

サイバーセキュリティにおける一時的ドメインの課題に取り組む

新しい研究が、オンライン虐待に使われる一時的なドメインの検出にギャップがあることを明らかにした。

― 1 分で読む

サイバー犯罪における一時的サイバー犯罪における一時的なドメインの対策を暴露してる。研究が一時的なドメインの脅威と検出の隙間
目次

悪意のあるアクターは、ドメイン名を使ってスパムを送ったり、フィッシング攻撃をしたり、マルウェアを広めたりといった有害な活動を行ってる。こうした脅威に対抗するためには、ドメインの存在や所有者についての情報が必要だけど、ドメイン名システム(DNS)はそれを完全には提供していない。

そこで、インターネット法人のICANNが中央ゾーンデータサービス(CZDS)を作った。このサービスは、新しい一般的なトップレベルドメイン(gTLD)の日次スナップショットを共有してる。でも、多くの有害なドメインがすぐに登録されて削除されちゃうことが多いから、こうした日次スナップショットには載らないことが多いんだ。

可視性のギャップ

調査によると、新しく登録された短命のドメインについては大きな可視性のギャップがあるらしい。どんなにいいデータを使っても、少なくとも1%のドメインが早すぎる登録と削除のために見逃されちゃってる。これって、日次データの更新に頼ってるセキュリティ対策が、多くの潜在的に有害なドメインを見逃すことを意味してるよね。

このギャップを埋めるために、我々は公的および私的なデータソースを使ってドメインの活動をよりよく理解し、こうした脅威への対応を改善する方法を見つけた。安全に迅速なゾーン更新を実施するための議論を呼びかけたいと思ってる。

DNSの問題

DNSエコシステムは、他のインターネットインフラの部分に比べて透明性が低いことが多い。BGP(ボーダーゲートウェイプロトコル)とは違って、DNSにはエントリーポイントが必要で、通常はドメイン名だ。ドメイン名が分からないと、その裏でどんな悪用がされてるのかを見抜くのは難しい。こうした透明性の欠如が、悪意のある活動を検出し対応する努力を妨げてるんだ。

CZDSのようなDNSの可視性を向上させるための既存の解決策は、役に立つけど重要なギャップを残してる。以前の研究では、日次ゾーンファイルは短命ドメインによる相当量の悪用を捉えていないことが指摘されてる。こうしたドメインは悪意のある目的で登録されてすぐに削除されちゃう。

悪意のある活動への現在の対応

現在、レジストラは悪用の活動に関連するドメインを特定して削除する責任を負ってる。でも、これが継続的な課題を生んでる。攻撃者は検出を避けるために頻繁に別のレジストラに移動するから、各レジストラがすべての悪意のあるドメインを捕まえるのが難しいんだ。

トップレベルドメイン(TLD)の変更について独立したセキュリティ研究者により正確な可視性を提供できれば、悪用をよりよく特定して防ぐことができる。公的なデータを使うことで可視性のギャップを減らせるけど、完全な解決策にはTLDの更新に迅速にアクセスすることが必要なんだ。

方法論

我々の研究は、ドメイン名に対して発行された証明書の公的記録である証明書透明性(CT)ログを使った多段階アプローチを含んでる。我々が設計した方法論は以下の通り:

  1. CTログから新しく登録されたドメインを特定する。
  2. 登録データアクセスプロトコル(RDAP)から登録データを収集する。
  3. これらのドメインのDNSプロバイダーの変化を監視する。
  4. 我々の発見をRDAPデータと照合する。
  5. 24時間以内に作成され削除される短命ドメインを特定する。

これらのステップに従って、我々はより詳細にドメイン活動を分析するためのデータを集めた。

新しく登録されたドメインに関する発見

2023年11月から2024年1月の間に、CZDSのスナップショットにはキャッチされなかった680万以上のドメイン名を発見した。3.7百万が.comで登録されていて、他にも.xyzや.shopなど様々なTLDがあった。

我々の方法は、CZDSのゾーンファイルに載る前に新しく登録されたドメインの42%を特定することに成功した。このことから、CTログを利用する我々のアプローチが潜在的な悪用に関与するドメインを効果的に浮かび上がらせることができることが分かるよね。

検出のスピード

我々の研究は、新しく登録されたドメインの半分をその存在から45分以内に検出し、30%はたった15分で検出したことを示してる。これらの結果は、我々のアプローチが悪意のある目的に使われるかもしれない新しく登録されたドメインを特定するのに速くて効率的であることを示唆してる。

短命ドメイン

新しく登録されたドメインの中で、約1%はゾーンスナップショットには決して現れない。これが短命ドメインで、すぐに作成されて削除されることが多く、通常は悪意のある理由からそうなる。分析の結果、三ヶ月の観察期間中に68,042の短命ドメインが見つかった。

ほとんどの短命ドメインは登録から非常に早く、しばしば6時間以内に消えることが分かった。これは、こうした迅速に動く脅威に対処するためのより良い検出方法の必要性を強調してる。

レジストラとホスティングの状況

分析によると、ゴーダディが短命ドメインの主要なレジストラで、全体の19%を占めていた。クラウドフレアは、こうしたドメインのための主要なDNSプロバイダーとして浮上してきて、短命ドメインが長命ドメインと似たようなインフラを共有していることを示してる。

ただ、短命ドメインの中に駐車ドメインが多く見られることから、多くは早く削除されていることが分かる。これは、悪用される前に削除されることが多いことを意味してる。

早期削除の理由

我々は、短命ドメインが悪用や不審なアカウント活動、詐欺のために削除されることが多いことを発見した。多くのレジストラが、悪意のある行動に関連するドメインを素早く削除するための行動を取ると報告している。

我々の悪意のあるドメインを特定するためのブロックリストの分析では、新しく登録されたドメインと短命ドメインのごく一部が危険視されていることが分かった。ほとんどの短命ドメインは削除後にマークされており、検出に遅れがあることを示してる。

改善されたデータ共有の必要性

商業的な脅威インテリジェンスサービスは、DNS活動を監視することで可視性のギャップを埋めようとしているが、依然として課題に直面している。我々のデータソースからの新しく登録されたドメインと商業フィードからのデータを比較すると、後者の方が若干多くのドメインを特定するかもしれないが、異なるデータソース間の協力が必要であることを示す重要な重複がある。

さらに、一つの中規模なccTLDレジストリが我々の方法論で部分的にしか捕らえられなかった短命ドメインのかなりの数を特定したことが分かった。これは、急速に変化するドメイン活動の検出においてまだ大きなギャップがあることを示している。

結論

結論として、短命ドメインの問題はオンラインの悪用との戦いにおいて大きな課題を表している。これらの脅威を特定して対応するためには多少の進展があったものの、可視性や検出を向上させるためのより良いツールやアプローチが必要だ。

Verisignが以前に使用していたような迅速なゾーン更新の機能を復元し、潜在的な悪用に対する強力な保護策を講じることで、ドメインに関連するサイバー犯罪との戦いを大いに助けることができる。コミュニティ全体が協力して、DNSエコシステムの透明性と説明責任を向上させる解決策を見つける時が来たと思う。

ドメイン活動の理解を深め、可視性のギャップを減らすことは、インターネット全体のセキュリティ環境を向上させるために重要なんだ。レジストラ、セキュリティ研究者、法執行機関が情報や洞察を共有することで、みんなにとってより安全なオンライン環境を作れるはずだよ。

オリジナルソース

タイトル: DarkDNS: Revisiting the Value of Rapid Zone Update

概要: Malicious actors exploit the DNS namespace to launch spam campaigns, phishing attacks, malware, and other harmful activities. Combating these threats requires visibility into domain existence, ownership and nameservice activity that the DNS protocol does not itself provide. To facilitate visibility and security-related study of the expanding gTLD namespace, ICANN introduced the Centralized Zone Data Service (CZDS) that shares daily zone file snapshots of new gTLD zones. However, a remarkably high concentration of malicious activity is associated with domains that do not live long enough make it into these daily snapshots. Using public and private sources of newly observed domains, we discover that even with the best available data there is a considerable visibility gap in detecting short-lived domains. We find that the daily snapshots miss at least 1% of newly registered and short-lived domains, which are frequently registered with likely malicious intent. In reducing this critical visibility gap using public sources of data, we demonstrate how more timely access to TLD zone changes can provide valuable data to better prevent abuse. We hope that this work sparks a discussion in the community on how to effectively and safely revive the concept of sharing Rapid Zone Updates for security research. Finally, we release a public live feed of newly registered domains, with the aim of enabling further research in abuse identification.

著者: Raffaele Sommese, Gautam Akiwate, Antonia Affinito, Moritz Müller, Mattijs Jonker, KC Claffy

最終更新: 2024-09-25 00:00:00

言語: English

ソースURL: https://arxiv.org/abs/2405.12010

ソースPDF: https://arxiv.org/pdf/2405.12010

ライセンス: https://creativecommons.org/licenses/by-sa/4.0/

変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。

オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。

参照トピック

著者たちからもっと読む

類似の記事