概要
2024年4月に、DomainTools Report 2024 が公開されました。
本レポートは2015年以来、毎年DomainTools社が公開している資料で、インターネットインフラの悪用の手法やトレンドに関心のあるすべてのサイバーセキュリティ関係者の一助となるように、パターンと傾向を分析した資料です。
本レポートでは、以下の6つの側面に関して調査しています。
- トップレベルドメイン(TLD)
- IP ASN
- ネームサーバーASN
- IPジオロケーション
- レジストラ
- SSL認証局(CA)
サマリー
- トップレベルドメイン(TLD)
一部のTLDは特に悪意のある活動が集中していることが判明しています。特にフィッシング、マルウェア、スパムの分野では、無料または低価格で取得できるTLDが多くリストに上がっています。例えば、.gq、.tk、.cfなどがその例です。 - IP ASN
特定のASNは、悪意のあるドメインが非常に高い割合で存在することが分かりました。ロシア、英国、アメリカなどの一部のASNでは、フィッシングやマルウェアの活動が多く見られます。 - ネームサーバーASN
ドメインのネームサーバーに関連するASNでも、悪意のある活動が集中している箇所があります。特に以下のネームサーバーASNは、フィッシング活動に大きく関与していることが確認されました。- LV-2CLOUD-ASN16 (2 Cloud Ltd., ラトビア)
- RU-AEZA-AS (Aeza Group Ltd., ロシア)
- HOSTKEY-AS (Hostkey B.V., オランダ)
- IPジオロケーション
国別では、ベリーズ、モルドバ、台湾、ロシア、香港などが、悪意のあるドメインのホスティング国として高い割合を示しています。 - レジストラ
一部のレジストラは、特に悪意のある活動が集中しています。NiceNIC International Group Co., Limited はフィッシングやマルウェアで特に目立ち、他のレジストラと比較して非常に高い信号強度を示しています。また、URL Solutions, Inc. も高い割合で悪意のあるドメインと関連しており、フィッシングやスパムに多く使用されています。 - SSL証明書発行者(CA)
悪意のあるドメインは、特定のSSL証明書発行者(CA)と関連していることが示されています。特にLet’s Encryptの「E1」証明書は悪意のある活動と強く関連しており、フィッシングやマルウェアにも頻繁に使用されています。