ドメイン名の脅威情報を継続的にレポート -DAARのご紹介-

前回に引き続き、ICANN OCTOが行っているプロジェクトの一つであるDomain Abuse Activity Reporting (DAAR)をご紹介します。

ドメイン名の不正利用^[1]に関する調査や研究は普及をみせていますが、しばしば下記のような問題があります。

• すべてのgTLDに対する長期的な研究が少ない。
• 多くの研究では特定のセキュリティ上の脅威にのみ注目しており、複数の脅威に対する評価を行っていない。
• 調査の詳細な手法やデータソースは通常一般向けやレジストリ向けに公開されておらず、再現性がない。

このような問題を解決するため、ICANN OCTOでは公平・公正で再現性のある調査を、匿名化されたデータを用いて長期的に行うことにしました。これがDAAR Projectです。

DAARとは

DAAR(dˈɑː͡ɹ と発音します)はTLDレジストリ・レジストラをまたいでドメイン名の登録とそのセキュリティ上の脅威について調査する、ICANNのプラットフォームです。DAARのシステムは以下の二つの要素から成り立っています。

• 集計システム: TLDのゾーンファイルを収集し、不正利用されているドメイン名のデータを脅威情報フィードからまとめ、セキュリティ上の脅威と個々のTLDとを紐付けます。
• GUI管理システム: ドメイン名の登録状況や脅威情報を現在から過去に亘り表やグラフで表示します。このシステムに基づいてICANNが脅威の状況を調査したり、後述するレポートを生成します。

集計システムでは、まずgTLDのゾーンファイルをICANNのCentralized Zone Data Service (CZDS)から、DAARに参加しているccTLDのゾーンファイルをそれぞれのccTLD管理者から毎日収集し、ドメイン名の登録状況を確認します。その後、最新の脅威情報フィードを常に確認し、2件以上脅威として報告されているユニークなドメイン名を計測します。その際、そのドメイン名が後述するどのような種類の脅威に該当するかを分類します。この脅威情報のもととなるフィードには、他の多くのシステムで信頼され使用されている、公開されているものや商用のライセンスが必要なものなど複数のフィードを使用しています。

ドメイン名の分類に使われている脅威の種類は以下の4つが定義されています。

• フィッシング: 銀行や有名ブランド、ECサイトや政府機関など信頼されている対象を騙るWebサイトに使用されるドメイン名。
• マルウェア: 端末に対して、恐らくはユーザの同意無しにインストールされる敵対的もしくは侵入を目的としたソフトウェアをホストしたり配布したりするのに使用されるドメイン名。
• ボットネット・コマンドアンドコントロール(C2): DoS攻撃やスパムメール、フィッシングキャンペーンなどに使用されるボットネットを管理するために使用されるドメイン名。
• スパム: ばらまきメール広告や、他のセキュリティ脅威の配布などに使用されるドメイン名。

GUI管理システムにはICANNの管理スタッフなどがアクセスすることができ、視覚化された情報を使って脅威の分析を行っています。分析結果は毎月レポートとしてまとめられてWeb上でPDFドキュメントの形で公開されているほか、参加しているTLDレジストリなどには個別のレポートが送られています。

一連の調査手法に関するさらなる詳細はPDFドキュメントで確認することができます。

レポートの読み方・DAARを活用する

レポートの公開版は毎月生成されており、2018年1月のレポートから1, 2ヶ月前のレポートまでをDAARのWebサイト上ですべて確認することができます。詳細なレポートの読み方については公式のUnderstanding the Domain Abuse Activity Reporting (DAAR) Monthly Reportというドキュメントで詳しく解説されていますが、ここでは簡単なガイドを日本語でお伝えします。なお、レポートの構成は執筆時点で最新のレポートを参照しています。今後構成に変更があった場合は公式のガイドをご参照ください。

レポートを開くと、表紙、目次、前書きに続いて概要(Executive Summary)が記載されています。概要には分析されたドメイン名の数や脅威と判断されたドメイン名の数が載っているほか、脅威の傾向などについて英語の文章で記載されています。ここを読んで過去のレポートと比較するだけでも、現在の脅威に関するトレンドを把握することができます。

第1章はgTLDにおける概況(General Trends in gTLDs)となっており、過去3ヶ月間で計測された脅威の数などについて比較することで短期的な推移を把握することができます。

第2章は脅威ごとの分析(Breakdown of Individual Security Threats)となっており、4種類の脅威についてレガシーgTLD/新gTLD別に過去1年間の推移をグラフで示しています。時系列を基にした特定の脅威の動向について知りたい場合はこの章を読む必要があります。

第3章は脅威の割合(Normalized Metric: Percentage of Security Threats)となっており、1TLDゾーン内のドメイン名登録数の中央値に対する1TLDゾーン内の脅威ドメイン名数の中央値の割合をもとに、計測されたドメイン名の数や脅威そのものの数についてグラフにプロットされています。特にインターネット全体における最新の脅威動向などについて知りたい場合はこの章を読む必要があります。

最後の第4章は脅威ごとの割合の分析(Percentage of Security Threats: Breakdown of Individual Threats)となっており、第3章にあるグラフについてさらに脅威ごとに分けてグラフ化されています。また、第3章で示された割合を基に、脅威ごとの過去1年間の推移もグラフで見ることができます。インターネット全体における最新の脅威事情を知りたい場合はこの章を読む必要があります。

このように、公開版の月次レポートだけでもセキュリティやドメイン名の運用に関して多くの情報を得ることができます。実際の攻撃ではドメイン名・DNSをなるべく使わずに通信が行われるケースもありますが、ドメイン名を利用している攻撃や脅威について、今どんなものがどれくらい行われているのかをドメイン名運用の観点から知ることができます。インターネットのプロトコルやポリシーの策定に役立てることができるだけでなく、セキュリティの現場でこうした視点を取り入れることで、自社で観測しているだけでは掴みきれない動向をいち早く分析して事前の対策や次の情報収集に役立てられる可能性があります。

まとめ

今回はDAAR Projectについて、その概要とレポートの役立て方をお伝えしました。このDAAR Projectによって得られたデータは、前回の記事でご紹介したITHI Projectなど、ICANNのさまざまなプロジェクトや政策決定の指針として用いられています。また、後半でもお伝えしたとおり、DAAR ProjectそしてITHI Projectなどの公開されているデータやレポートは、ICANN内部のみならず、インターネットユーザやネットワーク管理者の視点からでも活用することができます。今後もインターネットを使う上で知っておくと便利なICANNの技術政策情報についてご紹介していきます。

^[1] DAAR Projectでは、ドメイン名の不正利用(Domain Name Abuse)のことをセキュリティ上の脅威(Security threat)と呼んでいます。また、ICANNの文脈では、これらはフィッシングなどDNSやドメイン名自体の不正利用を指すもので、DNS通信やプロトコル自体の不正利用は基本的に含まれません。