「ドメインエイジ」の使用は、悪意のあるウェブサイトへのアクセスからユーザーとシステムを保護する方法として、さまざまなファイアウォールおよびウェブセキュリティーベンダーによって推進されている機能です。コンセプトは、ドメインエイジを一般的なトラフィックフィルタリングパラメータとして使用することです。新しく登録されたドメインに関連付けられたホストは、完全にブロックするか、隔離するか、疑いを持って処理する必要があると考えられています。このブログでは、ドメインエイジとは何か、ドメインの作成と登録の方法、ドメインエイジの値、およびドメインエイジを他のウェブセキュリティーツールへの補完として最も効果的に使用する方法について説明します。
ドメインエイジ機能の定義
インターネットのサイトとドメインは絶えず変化し、進化しています。2020年の第1四半期には、1日あたり平均4万を超えるドメインが登録されました。ターゲットホストのドメインがわかっている場合、そのドメインにはさまざまなソースからのルックアップに使用できる登録日があります。ドメイン経過時間は、最初のドメイン登録から現在の日付までの時間の単純な計算です。
ドメインエイジング機能は、ポリシー制御で使用するように設計されており、管理者は、特定のインターネット宛先へのアクセスを許可するために必要な最小ドメインエージングを設定できます。ドメインの確立は非常に簡単で安価であるため、完全にブロックされない場合でも、新しいドメインは細心の注意を払って処理する必要があるという考え方です。残念ながら、ほとんどのプロトコルと実装では、ドメインエイジポリシーの選択は、許可またはブロックする2つの決定です。これは、最終的な宛先がホスト、サブドメイン、および宛先アドレスであり、ドメインの経過時間を変更せずに迅速にアクティブ化、変更、および非アクティブ化できる場合、あまり役に立ちません。その結果、ドメイン名またはドメインの経過時間のみに基づくバイナリセキュリティーの決定は、当然、セキュリティー、ユーザーエクスペリエンス、およびユーザーエクスペリエンスに悪影響を与える誤検知と誤検知の両方をもたらします。
ドメイン登録
IANA(Internet Assigned Numbers Authority)は、ICANN(Internet Corporation for Assigned Names and Numbers)の部門であり、プロトコルパラメータ、ドメイン名、IPアドレス、および自律システム番号のレジストリの管理を担当しています。
IANAはDNSルートゾーンとTLD(.com、.org、.eduなどのトップレベルドメイン)を管理し、レジストラはインターネットレジストリとIANAと連携して、トップレベルドメイン内に個々のサブドメインを登録する責任があります。
登録プロセスと定義の詳細は、IANAサイト(iana.org)にあります。詳細については、https://whois.icann.org/en/domain-name-registration-processをご覧ください。この場所には、次のステートメントが含まれています。
「場合によっては、WHOISに情報を掲載したくない個人または組織が、代理サービスプロバイダーと契約してドメイン名を登録することがあります。この場合、サービスプロバイダーはドメイン名の登録者であり、エンドカスタマーではありません。」
つまり、サービスプロバイダーとエンドカスタマーは、ドメインを1回登録すれば、登録日やその他の登録情報を変更することなく、そのドメインを再利用、再割り当て、または販売することができます。レジストラはオークションアドレスを実行でき、ドメイン「スクワッターとトロール」の広大な市場を作成します。攻撃者は、廃止されたビジネスの確立されたドメインを安価に購入するか、まったく新しい正当なサウンドドメインを登録して、数週間、数か月、または数年間使用しないままにすることができます。たとえば、この記事の執筆時点で、airnigeria.comはgodaddy.comでわずか65米ドルで売りに出されています。ドメインairnigeria.comは、もともと2003年に登録されました。IANAおよびレジストラは、ドメインの使用について責任または管理を行ないません。
ドメインエイジの決定
ドメインの有効期間は、TLD(トップレベルドメイン)のレジストリオペレーターが管理するインターネットレジストリのドメインレコードから決定されます。最終的に、レジストラはドメイン登録の確立と関連データの更新を担当します。レジストリのレコードには元の作成日がありますが、特定のドメインの登録が期限切れになり、ドメイン名が再登録されない限り、その日付は変更されません。このため、ドメインの経過時間は、個々の宛先がいつアクティブになったのかを示す非常に不正確な指標です。
また、フィルタリングの決定時に宛先IPアドレスのみがわかっている場合はどうなるでしょう? これは、特定の宛先に送信された最初のパケット(TCP SYNまたは他のネットワークまたはトランスポートレベルプロトコルの最初のUDPパケット)をフィルタリングする場合に当てはまります。宛先のドメインを取得するひとつの方法は、DNSの逆引き参照ですが、ホストのドメインは、解決のために最初に送信されたドメインと一致しない可能性があるため、ドメインの経過時間はどうなるでしょうか。
たとえば、www.mcafee.comは現在172.224.15.98に解決でき、逆にa172-224-15-98.deploy.static.akamaitechnologies.comに解決できます。mcafee.comドメインは1992-08-05に登録されましたが、akamaitechnologies.comは1998-08-18に登録されました。どちらも老舗のドメインですが、この宛先が定評のあるmcafee.comドメインで、定評のあるakamaitechnologies.comドメインでホストされているという理由だけで、これは、www.mcafee.com、または172.224.15.98の宛先がいつアクティブになったのか、またはそのIPアドレスと通信するリスクを示すものではありません。プロバイダーのドメインを使用してパブリッククラウド(IaaSおよびSaaS)でホストされている宛先を検討すると、ドメインエイジはさらに役に立たなくなります。
クライアントのDNSクエリを追跡し、それらのドメインを要求された宛先IPにマップして戻すことを試みることにより、逆引き参照から間違ったドメイン、したがって間違ったドメイン経過時間を取得することをいくらか軽減できます。ただし、これを行なうには、クライアントからのすべてのDNS要求を完全に可視化する必要があり、宛先IPアドレスが標準DNSを使用して、またはドメイン経過時間フィルタリングを提供するシステムによって決定されたと想定します。
ドメインエイジを一般的なフィルター基準として使用する際の課題
送信用の正しいドメインを確立でき、ドメインの経過時間を正確に取得できたとしても、考慮すべき問題があります。
レジストラは、確立されたドメインを自由に維持、変更、および再割り当てして顧客に割り当てることができ、リセラーも同じことができます。これにより、スタンドアロンのフィルタリングパラメータとしてのドメインエイジの有用性が大幅に低下します。これは、悪意のある攻撃者が、中立的または肯定的な評判で既存の確立されたドメインを簡単に取得できるためです。悪意のある攻撃者は、コマンドアンドコントロールドメインまたは攻撃ドメインとして使用されるずっと前に、新しいドメインを登録することもできます。
合法で完全に安全なサイトは、多くの場合、使用されてから数日または数時間以内に常に登録および確立されています。ドメインの経過時間をフィルター基準として使用する場合、誤検知率と誤検知率の間には常にトレードオフがあります。
ドメインの経過時間は、ドメイン内で個々のホスト名レコードが作成されたときと比較して、ほとんど価値がないことにも注意してください。十分に確立されたドメインは、無限の数のサブドメインとそれらのドメイン内の個々のホストを持つことができ、ホスト名の経過時間や名前がアクティブなIPに関連付けられていた場合でも正確に判断する方法はありません。おそらく決定できるのは、宛先ホスト名が以前に登録されたドメインの一部であるということだけです。
要するに、ドメインエイジは、それ自体で有用なフィルタリングの決定を下すのに十分なほど詳細または実質的ではないということです。ただし、選択された最新性のしきい値に関連付けられた偽陽性率と偽陰性率が許容できる場合、ドメインエイジは、より具体的な基準がまったくない場合に、ある程度の制限されたセキュリティー値を提供する可能性があります。ドメインの経過時間は、プロトコル、コンテンツタイプ、ホストカテゴリ、ホストレピュテーション、最初に表示されたホスト、ホストアクセスの頻度、ウェブサービス属性など、他のより明確なフィルター基準と組み合わせると、補足的な価値を提供できます。
HTTP/Sおよびプロキシベースのフィルタリングのコンテキストでのドメインエイジ
HTTPプロトコルが使用されている場合は、より具体的な基準を常に利用できます。HTTPおよびHTTPSフィルタリングは、明示的または透過的なプロキシを介して最も効果的に処理されます。プロトコルに従っている場合(デバイスまたはサービスによって強制されている場合)、TCP接続が確立されるまで、情報を転送したり、侵害や攻撃を開始したりすることはできません。
トラフィックがプロキシされており、HTTPSを復号化できる場合、ホスト、URLパス、およびURLパラメーターの正確な完全修飾ドメイン名(FQDN)をプロキシで識別および検証して、フィルタリングの決定に使用できます。FQDN、完全なURLパス、およびURLパラメーターに関する情報を検索する機能は、ドメインまたはドメインの登録日とは関係なく、特定のサイト、宛先、およびサービスの履歴、リスクレベル、および使用状況に関して、はるかに価値のある情報を提供します。このようなコンテキストデータは、プロキシがリクエストを特定のサービスとそのデータセキュリティー属性(サービスの種類、知的財産の所有権、違反履歴など)に関連付けるとさらに強化できます。
業界をリードするウェブプロキシベンダーは、最も頻繁に使用されるサイト、ドメイン、アプリケーション、サービス、およびURLの広範囲で包括的なデータベースを維持しています。McAfee Global Threat IntelligenceおよびCloud Registryデータベースは、サイト、ドメイン、およびURLを、地理的位置、カテゴリ、サービス、サービス属性、アプリケーション、データリスクレピュテーション、脅威レピュテーションなどに関連付けます。副次的な利点として、特定のホスト、ドメイン、サービスのデータベースにエントリがないこと、またはURLは非常に強力で、はるかに正確であり、サイトが新しく確立されたか、ほとんど使用されていないため、本質的に信頼されるべきではないことを示します。このようなサイトは慎重に扱い、ドメイン エイジに関係なく、その基準のみに基づいてブロック、指導、または分離する必要があります(後者の2つのオプションはプロキシHTTP/Sで一意に利用できます)。
2021年第1四半期より、McAfeeのUnified Cloud Edgeは、上記のすべての機能を提供し、未分類、未検証、またはその他のリスクのあるサイト用のリモートブラウザ分離(RBI)を備え、提供しています。これにより、ドメインの経過時間フィルターからの誤検知と誤検知の複雑さを追加することなく、ブラウザーやその他のアプリケーションが未分類のサイトにアクセスするリスクが実質的に排除されます。
HTTP/Sを使用する場合、ホスト名の経過時間、またはホスト名の最初または最後の表示日でさえ追加の価値を提供できますが、FQDNおよびより具体的なサイトまたはサービス関連の情報が利用可能な場合、ドメインの経過時間はほとんど役に立ちません。ベストプラクティスは、ドメインエイジに関係なく、未確認のサイトとサービスをブロック、分離、または少なくとも指導することです。ドメインの経過時間に基づいて未確認のサイトまたはサービスを許可すると、フォールスネガティブの重大なリスクが追加されます(ドメインが最近登録されていないという理由だけで、危険なサイトおよびサービスが許可されます)。ドメインの経過時間のみに基づいてサイトとサービスを一般的にブロックすると、評判が良く、ブロックすべきではないサイトが過剰にブロックされることになります。
結論
ドメインの経過時間は、ネットワークパケットの宛先について他に正確で具体的な情報が利用できない状況で、フィルターの決定を補足するのにいくらか役立ちます。HTTP/Sフィルタリングにドメインエイジを使用することを検討する場合、より包括的な脅威インテリジェンスおよびサービスデータベースの代わりにはなりません。ベストプラクティスから逸脱し、未検証のサイトへのHTTP/S接続を分離せずに許可することが決定された場合、ドメインエイジは、新しく登録されたドメインにある未検証のサイトをブロックすることにより、限定的な補足価値を提供できます。これは、包括的なウェブ脅威インテリジェンスを使用し、徹底的な要求と応答の分析を実行し、未確認のサイトを単純にブロック、分離、または指導するベストプラクティスと比較すると、誤った安心感と誤検知のリスクがはるかに高くなります。
※本ページの内容は2021年2月17日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Domain Age as an Internet Filter Criteria
著者:Jeff Ebel
