目次
はじめに:LummaC2事例が示した「公開IOCだけでは足りない」現実
近年、企業や組織を狙うサイバー攻撃はますます巧妙化しており、単に既知のマルウェアや悪性ドメインをブラックリストで防ぐだけでは十分とは言えなくなっています。
実際に、情報窃取型マルウェア「LummaC2」をめぐっては、米国司法省(DOJ)とMicrosoft社による大規模なテイクダウン作戦が実施され、2,300以上の関連ドメインが差し押さえられました。さらに、FBIとCISAからは114の悪意ある初期ドメイン(IOC)が公開されています。
しかし、攻撃者は公開済みのドメインを失っても、すぐに新しいインフラを立ち上げます。
そのため、公開されたIOCを確認して終わるのではなく、そこから未知の関連ドメインをどう広げて見つけるかが、実務では非常に重要になります。
本記事では、LummaC2関連の調査事例をもとに、猫の情報サイトやIT系オンラインスクールに偽装されたインフラの特徴と、DomainToolsを使って関連ドメインを「芋づる式」に追跡するピボット調査の考え方をご紹介します。
なぜ公開されたドメイン一覧だけでは防ぎきれないのか?
脅威分析やインシデント対応では、IOCが公開されること自体は非常に有益です。
ただし、攻撃者のインフラは1つのドメインで完結しているわけではなく、実際には複数のドメイン、共通の登録情報、似たネームサーバー構成、再利用されるWebテンプレートによって支えられていることが少なくありません。
つまり、114件のドメインが公開されたとしても、それはあくまで「見えている一部」にすぎない可能性があります。
重要なのは、その一覧をそのままブロック対象として扱うだけでなく、共通点を見つけて、未公開の関連インフラまで追跡することです。
- 公開IOC:既知の危険な対象を把握するための出発点
- 共通属性の抽出:登録者情報、ネームサーバー、SSL、ページ構成などを確認
- ピボット調査:共通属性から、まだ公開されていない関連ドメインを広げて調べる
この視点があるかどうかで、初動の質も、将来の被害予防の精度も大きく変わります。
猫のブログとオンラインスクールに偽装されたインフラの特徴
今回のLummaC2関連調査で特に注目されたのは、攻撃者が一見すると無害に見えるWebサイトを使ってインフラを偽装していた点です。
悪意のあるサイトというより、むしろ普通の情報サイトや教育サイトのように見えるため、表面的な確認だけでは見抜きにくいのが厄介なところです。
まず確認されたのが、「About Cats(猫について)」というタイトルのランディングページです。
一見すると猫に関する一般的なブログや紹介ページのように見えますが、DomainToolsでこの特徴を起点に関連ドメインを調べたところ、同様のページを持つ多数の追加ドメインが発見されました。しかも、それらの多くは極めて高いリスクを示していました。
さらに調査を進めると、「IT・技術系オンラインスクール」を装ったサイト群も見つかりました。
これらのサイトは、プログラミング、3Dモデリング、ゲーム開発、AI活用といった、もっともらしい学習テーマを掲げており、「会社概要」「講師紹介」「受講生の成功事例」など、見た目もかなり作り込まれていました。
- 猫の紹介サイト風のページ:無害に見せかけたランディングページ
- IT・技術系オンラインスクール風のページ:教育サービスを装った偽装サイト
- 不自然な表現:料金表を「tariffs」と表記するなど、細部に違和感がある
- 管理画面の存在:一部にはC2サーバーのログイン画面と見られる構成も確認された
- 登録情報の共通性:特定の登録者メールドメインや構成要素が複数サイトで再利用されていた
このように、表向きは無害・有益に見えるサイトでも、裏側の登録情報や構成要素を確認すると、攻撃インフラとしての共通点が見えてくることがあります。
だからこそ、見た目だけで判断せず、ドメインインテリジェンスの観点で深掘りすることが重要です。
DomainToolsで行う「ピボット調査」とは
このような隠れた関連ドメインを見つけ出すうえで有効なのが、DomainTools Iris Investigateによる「ピボット調査」です。
ピボット調査とは、1つの不審ドメインや登録情報を起点に、そこからつながる別のドメイン、ネームサーバー、証明書、Whois/RDAP情報などへ調査を広げていく手法を指します。
今回の事例では、たとえば登録者メールアドレスに含まれていた特定のメールドメインや、共通して使われていたランディングページ、ネームサーバー構成などが有力な手がかりになりました。
こうした断片的な情報をもとに、DomainTools上で関連先へピボットしていくことで、単発のIOC確認では見えない「インフラのまとまり」を把握しやすくなります。
- 登録情報から広げる:Whois/RDAPのメールドメインや関連項目を起点にする
- DNS情報から広げる:ネームサーバー、解決先IP、パッシブDNS履歴をたどる
- Webの特徴から広げる:スクリーンショット、ページ構成、類似テンプレートを手がかりにする
- リスクスコアで優先順位を付ける:関連候補が多い場合でも、危険度の高い対象から調査しやすい
DomainToolsは、長年にわたって蓄積されたWhois/RDAP、DNS、SSL証明書などのドメイン関連データを横断的に確認しやすいため、攻撃者インフラを点ではなく面で捉えたい場面に向いています。
また、独自のリスクスコアにより、新しく登録されたばかりのドメインであっても、既知の悪性インフラとの近接性や特徴から優先調査すべき対象を見つけやすくなります。
セキュリティ担当者が押さえたい監視ポイント
今回の事例から分かるのは、攻撃者が使うインフラは必ずしも「いかにも怪しい」見た目をしているとは限らない、ということです。
だからこそ、セキュリティ担当者は見た目ではなく、ドメインの年齢、登録情報、TLD、キーワード、ページ構成の不自然さといった観点から監視する必要があります。
- 若いドメインの監視:新規登録されたばかりのドメインや、急に活性化したドメインを確認する
- 特定キーワードの監視:「training」「expert」「course」など、教育・学習系を装う語句を含むドメインを注意深く見る
- TLDの傾向確認:.pro、.online、.top など、悪用傾向が見られるTLDを重点監視する
- 登録情報の精査:特定のメールドメインや再利用される登録者情報がないか確認する
- ページ内容の違和感確認:不自然な料金表記、講師情報の不整合、住所や会社情報の不自然さなどを見る
こうした確認を、単なる目視ではなく、継続的な監視とドメインインテリジェンスの組み合わせで行うことが、未知の脅威を先回りして検知するうえで重要です。
自社でもこのような調査や監視を強化したい場合は、当社までお問い合わせください!
DomainToolsの各製品は、詳細調査、類似ドメイン監視、自動エンリッチ、リスクベースの優先順位付けまで、実務に必要な流れを支援します。
まとめ:単発のIOC確認で終わらせないために
LummaC2の事例が示しているのは、攻撃者のインフラは見た目の怪しさだけでは判断できず、登録情報、ネームサーバー、DNS履歴、証明書、ページ構成といった複数の要素を組み合わせて見ていく必要があるということです。
公開されたIOCは重要な出発点ですが、そこからさらに関連先へ広げていくことで、未知のドメインや予備インフラまで把握しやすくなります。
特に、フィッシング、情報窃取型マルウェア、ブランド悪用のように、複数ドメインへ横展開しやすい攻撃では、1件のドメイン確認で終わらせない視点が大切です。
まずは1つの不審ドメインから、共通項を抽出し、関連先へピボットしていく調査の流れを意識してみてください。
当ブログでは今後も、さまざまな知見やリサーチ結果を実務にどう結びつけるかという観点で発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!