悪質サイト

DNS Network Security

 URLやメールアドレスに使われるドメイン名の最後に付く文字列であるトップレベルドメイン。「tech.nikkeibp.co.jp」なら「.jp」が該当する。セキュリティ組織のThe Spamhaus Projectによると、.menや.clickといったトップレベルドメインを持つWebサイトの6割以上が危険な悪質サイトであるという。


急増するトップレベルドメイン

 従来、トップレベルドメインには主に2種類あった。gTLD(Generic Top Level Domain)とccTLD(Country Code Top Level Domain)である。


 gTLDは、利用する企業や団体の形態や用途に合わせて利用できるTLD。2000年11月までは、.com、.net、.org、.edu、.gov、.mil、.intの7種類しかなかった。
f:id:nonbei:20180623021237j:plain
2000年より前から存在するgTLD (出所:日本ネットワークインフォメーションセンター)


 ccTLDは、国や地域ごとに付与されるTLD。日本なら.jp、中国なら.cn、英国なら.ukといった具合だ。200種類以上のccTLDが存在する。
ccTLDの例
f:id:nonbei:20180623021355j:plain
(出所:日本ネットワークインフォメーションセンター)


 そして2010年11月以降、第3のTLDが登場する。新gTLDである。新gTLDの最大の特徴は、企業や団体が任意のTLDを申請し取得できること。会社名や製品、サービス名、地域名(地方自治体名)をトップレベルドメインとしてWebサイトのURLやメールアドレスに利用できる。


 この新gTLDの登場により、トップレベルドメインの数は爆発的に増え、現在では1500以上が登録されている。.menや.work、.loanといった見慣れないトップレベルドメインの多くは新gTLDだ。


悪質の度合いを算出

 多数存在するトップレベルドメイン。それらのうち、悪質な使い方をされているのが特に多いドメインを、複数のセキュリティベンダーやセキュリティ組織がランク付けして公表している。ここでの悪質な使い方とは、ウイルスを配布するWebサイトやスパム(迷惑メール)の送信サーバーなどに使うことを指す。


 複数存在するランク付けの中で、信頼性が高いと思われるものの一つが、The Spamhaus Projectが公表するものである。The Spamhaus Projectは、スイスと英国に拠点を持つ非営利組織。1998年の設立以降、スパムの送信元やウイルスの配布元などに関する情報(ブラックリスト)を、ISPインターネットサービスプロバイダー)や企業・組織に提供している。


 The Spamhaus Projectが公開するランキングは、同組織が独自に算出した悪質指標(Badness Index)で順位付けされている。使われている全ドメインに対する悪質ドメインの割合に、悪質ドメインの数の対数を乗じている。これにより、悪質ドメインの割合が同じでも、悪質ドメインの数が多いトップレベルドメインのほうが、より悪質と判断される。
f:id:nonbei:20180623021615j:plain
悪質指標(Badness Index)の計算式 (出所:The Spamhaus Project)


 The Spamhaus Projectによるランキングは毎日更新される。2018年6月上旬は、男性を表す新gTLDの.menが首位の座を守っていたが、6月中旬以降は.gqがトップに躍り出た。.gqは赤道ギニアccTLDである。
f:id:nonbei:20180623021724j:plain
悪質指標(Badness Index)ワースト10(2018年6月19日時点)(出所:The Spamhaus Project)


 .cfは中央アフリカ、.gaはガボン、.mlはマリ、.tkはトケラウのccTLDである。.topはトップ、.workは仕事(ワーク)、.loanはローン、.clickはクリックを表す新gTLDだ。


「悪い」のは「安い」から


 一見、共通点がないように思えるこれらのワースト10。実は、ある点で共通している。これらのトップレベルドメインは、無料あるいは低料金で利用できるのだ。


 悪質ドメインは、悪行が発覚するとブラックリストに登録されて使えなくなる。このため攻撃者は、ドメインを多数用意して使い捨てる。その場合、攻撃者を困らせるのが、ドメイン名の登録や維持にかかる費用だ。通常は、レジストラと呼ばれるドメイン登録事業者に料金を払って、ドメイン名の登録と管理を依頼する。


 そこで攻撃者は、無料あるいは低料金で使えるトップレベルドメインに目を付けた。.gq、.cf、.ga、.ml、.tkの5種類のトップレベルドメインは、Freenomというレジストラが無料で登録を受け付けている。
f:id:nonbei:20180623021841j:plain
FreenomのWebサイト。日本語でも情報を提供している
(出所:Freenom)


 同社では、無料サービスと併せて有料サービスも提供している。無料サービスには制限を設けて、有料サービスに移行させることを狙っている。


 例えば、無料サービスではドメイン名を所有できない。Freenomから貸してもらうという立場だ。また、無料サービスは有料サービスよりも利用規定が厳しく、規定に違反するとすぐに利用できなくなる。ドメイン名を所有したい、あるいは利用規定を緩くしてほしいという場合には、有料のサービスに移行する必要がある。ただ、最初からドメイン名を使い捨てるつもりの攻撃者にとっては、無料のサービスで十分だ。


 新gTLDの.men、.top、.work、.loan、.clickが使われるのも同じ理由だと考えられる。The Spamhaus Projectの情報によると、攻撃者に悪用されることを承知のうえで、これらのトップレベルドメインを安価で大量に提供しているレジストラが存在するという。例えば、著名なセキュリティ研究者Brian Krebs氏は、.menや.loanといった新gTLDを年額66セントで提供しているレジストラがあるとする。


 見慣れないトップレベルドメインには、変なものが潜んでいる可能性が高い。リンクなどをクリックしているうちに.gqや.cf、.men、.clickなどのWebサイトに誘導されたら、すぐに立ち去ったほうがよい。



ソ-ス:危険な.menと.click、6割以上が悪質サイト | 日経 xTECH(クロステック)

「見慣れないトップレベルドメインには、変なものが潜んでいる可能性が高い。リンクなどをクリックしているうちに.gqや.cf、.men、.clickなどのWebサイトに誘導されたら、すぐに立ち去ったほうがよい。」を実行する。





関連:
海賊版サイトをブロッキングするための5つの手法(その仕組みと限界および問題点)  - INTERNET Watch