サイバーニュース.jp

世界のサイバーなニュースを配信

脅威アクターが動的DNSプロバイダーを悪用し、悪意ある活動を拡大

カテゴリ:

, , , , , , , , ,

動的DNSプロバイダーが悪用される脅威の増大

サイバーセキュリティ研究者たちは、脅威アクターが動的DNSプロバイダーを悪用して悪意あるインフラをホストする傾向が強まっていることを確認しました。これは世界中の企業組織に重大なリスクをもたらしています。

動的DNSプロバイダー、別名「公開レンタル可能なサブドメインプロバイダー」は、そのアクセシビリティと規制監督の限定性から、悪意あるアクターにとって魅力的な標的となっています。これらのサービスは、正当なドメインレジストラが直面するような厳格な審査なしに、本質的に「ミニドメインレジストラ」として機能します。

脅威アクターにとっての動的DNSの魅力

従来のドメイン登録がICANNやIANAのプロセスへの準拠を必要とするのとは異なり、動的DNSプロバイダーはドメインを購入し、独自のルーティングインフラを確立するだけで済みます。Silent Pushの最新調査によると、70,000以上のドメインがこれらのサービスを通じてサブドメインをレンタルしており、その多くは最小限の監督と緩いセキュリティ管理の下で運営されています。

脅威アクターにとっての魅力は、いくつかの主要な要因にあります。多くのプロバイダーが暗号通貨決済を受け入れ、「Know Your Customer」の詳細を要求しない匿名登録を宣伝しています。この匿名性と最小限の検証の組み合わせは、悪意あるアクターがコマンド&コントロールインフラを確立し、検出を回避するための理想的な環境を作り出しています。

サブドメインレンタルサービスの多様な形態

動的DNSエコシステムには、それぞれ異なるセキュリティ課題を提示する様々なサービスモデルが含まれます。

  • 限定制御サービス: これらのプロバイダーはDNS Aレコードの設定を制限しますが、一部のコンテンツ制御を許可します。Blogspotのようなサービスがこのカテゴリに属します。
  • コンテンツのみ制御: pages.devのようなプラットフォームは、ユーザーがコンテンツを自由に設定できる一方で、DNSレコードとIPアドレスの制御を維持します。
  • 完全制御サービス: afraid.orgのようなプレミアムサービスは、完全なホスティングとコンテンツ制御を提供し、通常は有料プランを通じて利用可能です。これらは脅威アクターに悪意ある活動のための最大限の柔軟性を提供するため、最も高いリスクをもたらします。

Silent Pushによる監視と脅威インテリジェンス

Silent Pushの脅威インテリジェンスチームは、動的DNSエコシステムを追跡するための洗練された監視機能を開発しました。彼らの研究方法論は、複数のデータソースを組み合わせて潜在的な脅威の包括的なカバレッジを提供します。追跡システムは、Public Suffix Listからのデータを取り込み、「Private Domains」セクションに焦点を当てています。

チームは特にafraid.orgに注目しており、このサービスは数万のサブドメインをレンタルしており、中には約25年前から存在するドメインもあります。afraid.orgだけでも、NameServer DNS検索を通じて591,000以上の結果が特定されています。

主要な脅威アクターによる悪用事例

高プロファイルの脅威グループは、動的DNSサービスを悪意ある作戦に広範に利用してきました。

  • APT29は、2022年にQUIETEXITコマンド&コントロール通信のために動的DNSドメインを排他的に使用したと記録されています。
  • Gamaredonグループは、ウクライナのエンティティを標的としたキャンペーンでこれらのサービスを利用しているのが観測されています。
  • Scattered Spiderは、2025年1月の作戦で公開レンタル可能なドメインを組み込みました。
  • APT28 (Fancy Bear)は、2024年のFBI報告書で動的DNSドメインの多用について具体的に言及されました。
  • その他、APT33DDGroupAPT Group Galliumなども悪用事例があります。

これらのサービスが高度な持続的脅威グループによって広く採用されていることは、従来のセキュリティ対策を回避する上でのその有効性を示しています。歴史的には、2014年にMicrosoftが進行中の攻撃で多用されていたNo-IP動的DNSドメインを差し押さえる取り組みを主導した事例もあります。

セキュリティへの影響と課題

動的DNSの悪用によるセキュリティへの影響は、単純なドメインホスティングにとどまりません。これらのサービスは、企業の許可リストに意図せず表示される可能性があり、従業員がブロックされたコンテンツへのアクセスを要求する際に潜在的なセキュリティギャップを生み出します。

脅威アクターが苦情に対応しないサービス上のサブドメインを制御している場合、そのインフラはコマンド&コントロール通信にとって非常に魅力的になります。従来のドメインではレジストラとホスティングプロバイダーの両方にテイクダウン要求を連絡できますが、動的DNSサービスはしばしば限定的な是正オプションしか提供しません。

悪意あるサブドメインの永続性は重大な懸念事項です。サイバーセキュリティ企業が悪意ある活動を特定して報告しても、プロバイダーの無反応や不適切な乱用処理手順のために、サブドメインがアクティブなままになることがあります。

推奨される対策

Silent Pushは、企業組織に対し、公開レンタル可能なドメインに対するプロアクティブな監視およびブロック戦略を実装することを推奨しています。彼らのバルクデータエクスポートは、サブドメインをレンタルする追跡対象ドメインと動的DNSサービスを包括的にカバーしています。

組織は、これらのドメインへの接続を処理するためのリスクベースのポリシーを確立すべきです。一部の企業では、ユーザーが特定の除外を手動で要求しない限り、すべての接続を完全にブロックする必要があるかもしれません。他の企業では、アラートメカニズムが運用上の柔軟性を維持しつつ十分な可視性を提供すると考えるかもしれません。

防御者にとっての重要な原則は、これらのサービス内の個々のサブドメインの正当性が劇的に異なる可能性があることを認識することです。あるサブドメインが正当な目的を果たしている一方で、同じサービス上の別のサブドメインが悪意あるインフラをホストしている可能性があります。この多様性は、微妙なセキュリティアプローチを必要とする独自の防御上の課題を生み出します。

進化する脅威の状況

動的DNSの脅威ランドスケープは、これらのサービスが正当なユーザーと脅威アクターの両方の間で人気を集めるにつれて進化し続けています。多くのプロバイダーは、シェルカンパニーとして、または乱用報告を無視した実績のあるエンティティとして運営されています。サブドメインレンタルスキームを支援するビジネスセクターは、良性なものよりも悪意ある取り組みが多く、一部のエンタープライズソリューションは深刻な脅威アクターによって大規模に悪用されています。

Silent Pushの2025年を通じた継続的な監視努力は、公開レンタル可能なドメインの追加リポジトリの特定や新たな動的DNSプロバイダーの出現を含む、この分野の新たな進展を追跡していきます。サイバーセキュリティコミュニティのこれらのサービスを特定し追跡するための協力的なアプローチは、この増大する脅威ベクトルに対する効果的な防御態勢を維持するために不可欠です。

元記事: Threat Actors Exploiting Dynamic DNS Providers for Malicious Activity

投稿をさらに読み込む