DomainTools レポート2023春版が発行されました。 2015年の最初のDomainToolsレポート以来、ドメイン登録、ホスティング、コンテンツ関連のデータを探索し、セキュリティ実務者、研究者、オンラインインフラストラクチャの不審な使用や悪意のある使用に関心のある他の人々にとって興味深いと思われるパターンや傾向を明らかにすることを目指してきました。
2023年春版では、2021年秋版で最後に調査した6つの特徴による悪意のある活動の集中に再び焦点を当てています。
- トップレベルドメイン(TLD):例えば、.comや.net
- IP AS番号(ASN):これらはドメインのホスティングの側面を表します
- ネームサーバーASN:これらはドメインに関連付けられたネームサーバーのホスティングを表します
- IP Geolocation(IPジオロケーション):ドメインのIPアドレスの場所に関連付けられた国コード
- レジストラ:ドメインが登録されたエンティティ
- SSL証明書認証局(CA):ドメインに関連付けられた証明書のCA
これらの特徴を選んだ理由は、それらが防御者やセキュリティ研究者によってよく使われるからです。ドメインについてより良い理解を得るためのプロセスの一部として使われます。多くの場合、大規模なデータはそれらの直感を支持しています。例えば、特定のTLDはセキュリティアナリストの間で危険な「地域」であるという評判がありますが、このレポートや過去のDomainToolsレポートでは、悪意のあるドメインが集中しているTLDが実際に存在することが示されています。
各カテゴリーについて、シグナル強度(悪意のある活動の集中度を測る指標)でソートされたトップテンのリストを提供しています。これらのリストの多くは実務者にとっては馴染み深いものですが、レポートには驚くべきものも含まれています。
悪意のある活動の「ホットスポット」を特定したのは、品質や性質が不明なインターネット・インフラを解明する上で有用なフォレンジック・データ・ポイントを捜査当局や研究者に示すためでもあります。
この論文には以下の内容が含まれています。
- 研究方法
- 調査した6つの特徴ごとの「トップテン」表
- 調査結果:データから予想されるパターンと予想外のパターン