内容をスキップ
概要 サイバー犯罪者はドメイン名を侵害することで、そのドメインの所有者や利用者を直接攻撃したり、フィッシング、マルウェア配布、コマンド&コントロール(C2)オペレーションなどの悪質な活動に利用したりしています。こうしたドメイン名侵害の一形態として「ドメインシャドウイング(domain shadowing)」と呼ばれる侵害があります。ドメインシャドウイングでは、侵害されたドメインの下に攻撃者が悪意のあるサブドメインである「シャドウドメイン(shadowed domain)」をひそかに作成します。これらシャドウドメインは侵害ドメインの通常のオペレーションに影響しないので被害者は気づきにくいですし、サブドメインは目立たないので、サイバー犯罪者に長期間、侵害されたドメインのもつ高いレピュテーション(評判)を利用されてしまうことが少なくありません。
現在は脅威リサーチにもとづいて検知を行うアプローチがとられていますが、このアプローチには時間も労力もかかります。まずはシャドウドメインを使う悪意のあるキャンペーンを発見しなければならないし、発見した後でないと、さまざまなデータセット内にある関連ドメインを探せないからです。そこで私たちは、未知のキャンペーンに対する大規模かつ迅速なシャドウドメイン検出が可能な自動化パイプラインを設計・実装することで、これらの問題を解消することにしました。私たちのシステムは毎日何テラバイトものパッシブDNSログを処理し、シャドウドメインであることが疑われるドメインの特徴量を抽出し、これらの特徴量をもとに高精度な機械学習モデルを使ってシャドウドメイン名を特定しています。この機械学習モデルでは、何十個もの侵害ドメイン以下に毎日何百ものシャドウドメインが作成されているようすが確認されています。
シャドウドメインの発見がいかにむずかしいかは、2022年4月25日から6月27日にかけて弊社が自動検出したシャドウドメイン1万2,197個のうち、VirusTotalのベンダーが悪質と判定したドメインがたった200個しかなかったことからもよくわかるでしょう。本稿ではその例として、bancobpmmavfhxcc.barwonbluff.com[.]auやcarriernhoousvz.brisbanegateway[.]comをはじめとする16個の侵害ドメイン以下につくられた、649個のシャドウサブドメインを悪用するフィッシングキャンペーンの詳細を解説します。サイバー犯罪者はこれらドメインのレピュテーションの高さを利用し、クレデンシャル(認証情報)を窃取する偽ログインページを拡散していました。VirusTotalベンダーのパフォーマンスは、この特定のタイプのキャンペーンに対してはずっと優れていて、シャドウドメイン649個のうち151個を悪意のあるドメインとしてマークしていました。ただし、それでも検出されたのは全ドメインの4分の1以下となっています。
パロアルトネットワークスは次世代ファイアウォールの一連のクラウド配信型セキュリティサービス(DNSセキュリティ、高度なURLフィルタリングを含む)の自動分類器を活用し、シャドウドメインに対する保護を提供します。さらにCortex XDRをお使いであれば、C2通信にドメインシャドウイングが使われている場合にアラートを発報したり、しかるべき対応をとることができます。
https://unit42.paloaltonetworks.jp/domain-shadowing/
