ProPrivacyのオープンデータ・プロジェクト:WHOISデータで新型コロナ関連ドメインをマッピング

新型コロナウイルス感染症の影響により、多くの人があらゆることを自宅で行うようになりました。感染の不安から、仕事、勉強、買い物、コミュニケーションはほぼ完全にデジタルの手段に依存し、サイバー犯罪、とりわけコロナウイルス関連のドメイン名を利用したサイバー犯罪が起こりやすい状況になりました。
この傾向を確かめるため、ProPrivacyはWhoisXML APIおよびVirusTotalと共同で「COVID-19 Malicious Domain Research Hub」というオープンデータ・プロジェクトを立ち上げ、ドメインネームシステム(DNS)がサイバー犯罪者に悪用されている状況を調査してきました。
オープンデータ・プロジェクトの目的
ドメイン名、特に新規登録されたドメイン名は、これまで長い間サイバー犯罪者によってフィッシング、マルウェア攻撃、金融詐欺などの不正な行為に利用されてきました。新型コロナウイルス感染症が大流行する前から、少なくとも悪意のある、あるいは疑わしい新規登録ドメイン名(NRD)が数多く認められていました。
悪用されている新型コロナ関連ドメイン名の数を把握するため、ProPrivacyはオープンデータ・プロジェクトを開始し、相互に関連した以下のシンプルな活動に取り組むことにしました。
- COVID-19に関連したドメイン名の更新リストを継続的に入手
- それらのドメイン名が悪意を持って使用されているかどうかを判定
- その情報を一般に公開
WhoisXML APIとの連携
WhoisXML APIは、広範囲に及ぶWHOISデータベースへのアクセスをAPIコールでProPrivacyに提供することにより、毎日発生する数十万件の新規登録の中から新型コロナ関連ドメイン名を監視できるようにしました。
VirusTotalによってドメイン名が「悪意」と判定されると、ProPrivacyはWhoisXML APIのドメインインテリジェンスからそのドメイン名の完全なWHOISレコードを取得します。レコードには、ドメイン名の登録日、有効期限、登録者名、電子メールアドレスが含まれています。データの堅牢性と正確性を確保するため、ProPrivacyはWhoisXML APIの過去のWHOISレコードを取得するAPIも使用しています。
オープンデータ・プロジェクトでは、ドメイン名登録者の行動とニュースになる出来事との密接な繋がりが明らかになりました。世界保健機関(WHO)が新型コロナウイルス感染症を「COVID-19」と命名したのと同じ日に、コロナウイルス関連の悪意あるドメイン名が648%増加したことを確認したのです。
オープンデータ・プロジェクトの成果
ProPrivacyのオープンデータ・プロジェクトは現在も進行中ですが、これまでの成果は以下の通りです。
- ProPrivacyで600,000件以上にのぼる新型コロナ関連ドメイン名を分析
- WhoisXML APIのデータベースとVirusTotalのデータを相互参照した結果、分析したドメイン名のうち125,000件あまりを悪意と判定
ProPrivacyの「COVID-19 Malicious Domain Research Hub」はこちらでご確認ください。データには、ProPrivacyのGithubリポジトリからもアクセスできます。
また、WhoisXML APIのデータベースについては、以下のページで詳細をご覧になれます。
他のサクセスストーリーはこちら