WhoisXML APIの研究者がこのほど、2024年2月1日〜29日に新規登録された660万超のドメイン名を分析し、最も人気のあったレジストラ、ドメイン名登録者の国、最も多く使われていたトップレベルドメイン（TLD）を含むドメイン名登録の世界的な傾向を分析しました。

また、2024年2月にセキュリティ侵害インジケーター（IoC）として検出された100万超のドメイン名について、そのTLDの使用状況や脅威の種類を調査しました。

本調査の結果と、DNS、IPアドレス、ドメイン名のインテリジェンスを用いてWhoisXML APIが作成した脅威レポートへのリンクを以下に示します。

2月の新規登録ドメイン名（NRD）をクローズアップ

TLDの分布

2024年2月に新たに登録された660万ドメインのうち、77.4%は分野別TLD（gTLD）、22.6%は国コードTLD（ccTLD）を使ったドメイン名でした。

1月の傾向と変わらず、2月の新規登録ドメイン名（NRD）に最も多く使われていたTLDは、全体の約41.1%を占めた.comでした。次いで多かったのは、.online（3.3%）、.shop（3.2%）、.ir （3%）、.xyz（2.9%）、.org（2.6%）、.net（2.5%）、.lol、.uk、および.ru（各2%）です。

次に、NRDをgTLDとccTLDに分け、それぞれのグループで最も人気のあったTLDを特定しました。

640あまりのgTLDの中で最も使われていたのは.comで、gTLD下に登録されたNRD総数の53.1%を占めました。

2位以下は.comに大差をつけられました。2位はeコマース関連の.onlineと.shop（各4.2%）でした。そして、これに.xyz（3.7%）、.org（3.4%）、.net（3.3%）、.lol（2.6%）、.top（2.5%）、.store（2.1%）、.site（1.9%）、.bond（1.8%）、.info（1.5%）、.sbs（1.1%）、.cyou（1%）、.vip（0.8%）、.pro（0.7%）、.today、.funおよび.click（各0.5%）、.tech（0.4%）が続きました。  

他方、230超存在するccTLDの中で最も人気が高かったのは.irで、ccTLD下で登録されたNRDの13.2%でした。

次いで多かったのは、.uk（8.9%）、.ru（8.7%）、.de（7.7%）、.cn（6.4%）、.au（4.7%）、.fr（4.1%）、.br（3.8%）、.in（3.2%）、.co（2.9%）、.eu（2.8%）、.pl（2.5%）、.nlと.it（各2.4%）でした。トップ20の残りは、.us（2.1%）、.cc（2%）、.es（2%）、.ai（1.9%）、.ca（1.7%）、そして.se（1.1%）となりました。以上を合計すると、2月のccTLDによるNRDの84.8%になります。

レジストラの分布

2024年2月のNRDで最も多く利用されたレジストラはGoDaddy.com LLC（全NRD登録数の18.1％）で、2位はNamecheap, Inc.（10.7%）でした。トップ10の残りは、、GMOインターネットグループ（4.6%）、Tucows Domains, Inc.（3.8%）、NameSilo LLC （2.9%）、Hostinger Operations UAB（2.7%）、Dynadot, Inc.（2.5%）、Squarespace Domains LLC（2.1%）、IONOS SE（1.8%）、Gname.com Pte. Ltd.（1.7%）となりました。

WHOISデータの非公開化

2月のNRDの58.6%は、プライバシー保護のためWHOISレコードを編集・非公開化していました。他方、41.4%はWHOISレコードを未編集の状態で公開していました。

DNSのレンズで見るサイバーセキュリティ

2月のIoCのトップTLD

次に、脅威との関連で2月にIoCとしてタグ付けされた100万超のドメイン名を分析しました。

IoCに最も多く見られたTLDは.comで、全体の16.6%を占めました。次いで多かったのは、.org（15.2%）、.net（14.3%）、.biz（10%）でした。また、.ru（2.3%）、.cn（1.7%）、.su（1.2%）など、ccTLDを使ったIoCもありました。 

2月のIoCの脅威タイプ別内訳

2月に検出されたIoCを関連している脅威のタイプ別に分類したところ、そのほとんど（95.53%）がコマンド＆コントロール（C&C）サーバーでした。残りは、­フィッシングキャンペーン（2.78%）、マルウェア配布（0.74%）およびその他のサイバー攻撃（0.91%）に分類されました。

脅威レポート

当社が2月に公開した脅威リサーチ報告の一部を以下にご紹介します。

• Ivantiゼロデイ攻撃のIoCをDNSで追跡：Ivanti製品の脆弱性を悪用した攻撃のIoCとして公表された20個のプロパティをもとに、WhoisXML APIの研究チームが397個の関連アーティファクトを検出しました。

• DNS調査：閉鎖されたxDedicは本当に終息したのか？：xDedicに関与した19個のIoCを出発点としてDNSを徹底調査した結果、xDedic自体は法執行機関によって閉鎖されていたにもかかわらず、150個の関連アーティファクトが存在していることを確認しました。

• 豚の屠殺詐欺をDNSで調査： 「豚の屠殺詐欺」と呼ばれる新種の詐欺に関わった8個のIoCを分析し、141個の関連アーティファクトを特定しました。

• RiseProの新バージョンをDNSで分析：新たに見つかったRiseProの亜種と関わりを持つ10個のIoCを調査し、数百の潜在的な関連アーティファクトに辿り着きました。その多くは悪意のあるプロパティでした。

当社の過去の脅威レポートはこちらでご覧になれます。

今回のドメイン登録の分析や他のユースケースのサポートで使用した当社の商品につきましては、こちらまでお気軽にお問い合わせください。