JP2023067463A - ドメイン検索プログラム、ドメイン検索方法および情報処理装置 - Google Patents

ドメイン検索プログラム、ドメイン検索方法および情報処理装置 Download PDF

Info

Publication number
JP2023067463A
JP2023067463A JP2021178730A JP2021178730A JP2023067463A JP 2023067463 A JP2023067463 A JP 2023067463A JP 2021178730 A JP2021178730 A JP 2021178730A JP 2021178730 A JP2021178730 A JP 2021178730A JP 2023067463 A JP2023067463 A JP 2023067463A
Authority
JP
Japan
Prior art keywords
domain
character string
level
brand
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021178730A
Other languages
English (en)
Inventor
剛 谷口
Takeshi Taniguchi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2021178730A priority Critical patent/JP2023067463A/ja
Priority to EP22182554.0A priority patent/EP4174684A1/en
Priority to US17/857,086 priority patent/US20230133524A1/en
Publication of JP2023067463A publication Critical patent/JP2023067463A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】ドメインの悪用を検知する。【解決手段】実施形態のドメイン検索プログラムは、生成する処理と、出力する処理とコンピュータに実行させる。生成する処理は、ドメイン名空間における第1階層のドメインの文字列と、第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成する。出力する処理は、特定のドメインを少なくとも1つ記述したドメインリストに、生成した文字列のドメインが含まれている場合に特定のドメインの不正利用についての指標となる情報を出力する。【選択図】図9

Description

本発明の実施形態は、ドメイン検索プログラム、ドメイン検索方法および情報処理装置に関する。
2000年付近からブランドドメインを狙ったタイポスクワッティングのような手法によって、ユーザのURLの打ち間違えを広告にリダイレクトさせて収益化するドメインパーキングサービスの悪用(以下、不正利用ともいう)や、フィッシング詐欺による認証情報窃取など様々な被害が発生している。ブランドドメインとは、一般的に浸透されている著名なドメインのことである。例えば、ブランドドメインには、Google(登録商標)のgoogle.com、Apple社(登録商標)のapple.com、富士通(登録商標)のfujitsu.com、Youtube(登録商標)のyoutube.comなどがある。
ブランドドメインを悪用するタイポスクワッティングの検知として、マイクロソフト社(登録商標)がStrider Typo-Patrolを提案している。この手法では、ブランドドメインのtypoドメインを自動的にスキャンしてHTTPログを精査する。
また、ブランドドメインの悪用検知については、レベルスクワッティング検知手法が提案されている。レベルスクワッティングでは、サブドメインは何のコストも制約もなく、自由にどのような文字列でも運用できることを悪用する。例えば、レベルスクワッティングでは、ブランドとは全く関係ないドメインのサブドメインとして、ブランドドメインのFQDN(Fully Qualified Domain Name)に見える文字列を運用する。
レベルスクワッティング検知手法の従来技術では、google.com。example.comが例として示されている。google.comはGoogleのドメインであるが、この例ではgoogle.comはサブドメインであり、example.comはGoogleと無関係なドメインである。
同じように、fujitsu.com.example.comなどのサブドメインも制約なく運用可能である。タイポスクワッティングと比較すると、サブドメイン部分はブランドドメインそのものの文字列であり、特にスマートフォンなどの表示領域は狭くURLの前半部分しか表示されないため、ブランドドメインと騙されたユーザがアクセスしてしまうケースがある。この手法ではPassive DNSをベースに、名前解決の正引きの履歴からドメインのサブドメインにブランドドメインが入っているものを検知する。
特開2012-118577号公報 特開2012-118713号公報 国際公開第2020/021811号
Wang, Yi-Min, et al. "Strider Typo-Patrol: Discovery and Analysis of Systematic Typo-Squatting." SRUTI 6.31-36 (2006): 2-2. Du, Kun, et al. "TL; DR hazard: A comprehensive study of levelsquatting scams." International Conference on Security and Privacy in Communication Systems. Springer, Cham, 2019.
しかしながら、上記の従来技術では、ブランドドメインの部分文字列をドメインとして登録し、ドメイン全体をサブドメインで補完するようなドメインの悪用を検知することが困難であるという問題がある。
例えば、ブランドドメインの部分文字列をドメインとして登録し、ドメイン全体をサブドメインで補完した場合、文字列の中に不自然なドットが残るものの、元のブランドドメインと酷似したFQDNの文字列を悪用可能である。
一例として、fujitsu.comを狙う場合、tsu.comを登録し、サブドメインとしてfujiを運用すれば、fuji.tsu.comとなる。以後の説明では、このようなブランドドメインの部分文字列を登録することを部分文字列占拠(substring squatting)、登録されたドメインを部分文字列占拠ドメイン、悪用されたサブドメインを部分文字列占拠サブドメインと呼ぶ。
部分文字列占拠ドメイン悪用手法では以下のような問題点がある。
(1)標的となったブランドドメインと編集距離が遠いドメインを登録するので、従来のタイポスクワッティング検知手法では検知することが難しい。
(2)ブランドドメインをそのままサブドメインとして悪用するわけではないので、レベルスクワッティング検知手法で検知することが難しい。
(3)サブドメインを悪用するために、登録コストがかからず、かつ好きなタイミングで応答するように運用可能である。
(4)TLD(Top Level Domain)は2012年以降にICANN(The Internet Corporation for Assigned Names and Numbers)の規制緩和により、委任が開始されたものが1200以上あり、標的と同じTLDにこだわらなければ大量の部分文字列占拠が可能である。例えば、tsu。xxx(xxxはTLD)は、ccTLD(country code Top Level Domain)を含めると1500以上の占拠の可能性がある。
このように、ブランドドメインに対する大量の部分文字列占拠が可能であることから、部分文字列占拠ドメイン悪用手法が検知されないと、ブランドドメインに対する悪用のリスクを適切に評価することが難しくなる。
1つの側面では、ドメインの悪用を検知できるドメイン検索プログラム、ドメイン検索方法および情報処理装置を提供することを目的とする。
1つの案では、ドメイン検索プログラムは、生成する処理と、出力する処理とコンピュータに実行させる。生成する処理は、ドメイン名空間における第1階層のドメインの文字列と、第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成する。出力する処理は、特定のドメインを少なくとも1つ記述したドメインリストに、生成した文字列のドメインが含まれている場合に特定のドメインの不正利用についての指標となる情報を出力する。
ドメインの悪用を検知できる。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。 図2は、共通末尾文字列抽出処理の一例を示すフローチャートである。 図3は、共通末尾文字列データの一例を説明する説明図である。 図4は、登録ドメイン問合わせ処理の一例を示すフローチャートである。 図5は、登録末尾登録ドメインデータの一例を説明する説明図である。 図6は、部分文字列占拠検知処理の一例を示すフローチャートである。 図7は、部分文字列占拠サブドメインデータの一例を説明する説明図である。 図8は、リスク評価処理の一例を示すフローチャートである。 図9は、ブランドドメイン被害状況データの一例を説明する説明図である。 図10は、TLD悪用状況データの一例を説明する説明図である。 図11は、コンピュータ構成の一例を説明する説明図である。
以下、図面を参照して、実施形態にかかるドメイン検索プログラム、ドメイン検索方法および情報処理装置を説明する。実施形態において同一の機能を有する構成には同一の符号を付し、重複する説明は省略する。なお、以下の実施形態で説明するドメイン検索プログラム、ドメイン検索方法および情報処理装置は、一例を示すに過ぎず、実施形態を限定するものではない。また、以下の各実施形態は、矛盾しない範囲内で適宜組みあわせてもよい。
実施形態の情報処理装置では、ルートのすぐ下にあるTLD(例えば、「us」、「jp」、「com」など)よりピリオドで区切られたホスト名・ドメイン名などが形成する階層構造のドメイン名空間において、第1階層のドメインの文字列と、その次の第2階層のドメインの文字列とを連結した文字列を生成する。そして、実施形態の情報処理装置は、ブランドドメインなどの特定のドメインを少なくとも1つ記述したドメインリストに、生成した文字列のドメインが含まれている場合に特定のドメインの不正利用を検知する。
具体的には、実施形態の情報処理装置は、アクセス数が多いブランドドメインに共通している末尾文字列を基にして、第1階層のドメイン、すなわち部分文字列占拠ドメインを特定する。ついで、実施形態の情報処理装置は、多くのブランドドメインをサブドメインで悪用しやすいドメインのサブドメイン(第2階層のドメイン)を、例えばPassive DNS(Domain Name System)レコードから収集し、繰り返し被害を受けているブランドドメインのリスク評価を行う。
部分文字列占拠ドメインは、ブランドドメインの末尾の文字列をドメインとして登録して悪用するため、様々なブランドドメインで共通している末尾文字列を登録すると使い回しが可能となる。例えば、「e」というドメインを登録すれば、googl.e、appl.e、adob.e、youtub.e等といったサブドメインが悪用可能である。逆の言い方をすると、そのような文字列を活用すれば効率よい部分文字列占拠検知が可能となる。
また、サブドメイン悪用の方法が特殊であり、全てのブランドドメインが対象となっているとは限らない。ブランドドメインの部分文字列から検知するよりも既に名前解決が観察されたサブドメインの中から悪用されたブランドドメインを検知する方が効率的である。
図1は、実施形態にかかる情報処理装置の機能構成例を示すブロック図である。実施形態にかかる情報処理装置1は、例えば、PC(パーソナルコンピュータ)などのコンピュータである。図1に示すように、情報処理装置1は、共通末尾文字列抽出部10、登録ドメイン問合せ部11、部分文字列占拠検知部12およびリスク評価部13を有する。
共通末尾文字列抽出部10は、ブランドドメインリスト20と、共通ブランド数閾値21とを入力とし、ブランドドメインリスト20に記述されたブランドドメインに共通する末尾文字列に関する共通末尾文字列データ23を出力する処理部である。
図2は、共通末尾文字列抽出処理の一例を示すフローチャートである。図2に示すように、共通末尾文字列抽出処理が開始されると、共通末尾文字列抽出部10は、ブランドドメインリスト20に記述されたブランドドメインから未選択のドメインを1つ選択する(S10)。
ここで、ブランドドメインリスト20は、少なくとも1つ以上の著名なブランドドメインを記述したリストである。ブランドドメインリスト20は、重複のない、有効なSLD(Second Level Domain)のリストである。ブランドドメインリスト20には、少なくとも1つ以上の著名なブランドドメインが記述されている。例えば、Googleについては、google.comやgoogle.co.jp等の多くのドメインが存在するが、ブランドドメインリスト20にはgoogleのみが記述されている。
ついで、共通末尾文字列抽出部10は、選択したドメイン(SLD)から末尾の1文字を含む任意の文字数の部分文字列群を抽出する(S11)。例えば、共通末尾文字列抽出部10は、googleであれば、e、le、gle、ogle、oogleなどを部分文字列群として抽出する。
ついで、共通末尾文字列抽出部10は、共通末尾文字列データ23に登録済みの部分文字列は共通ブランド数を+1、登録がないものは新規登録する(S12)。ついで、共通末尾文字列抽出部10は、ブランドドメインリスト20の中で未選択のブランドドメインが存在するか否かを判定する(S13)。未選択のブランドドメインが存在する場合(S13:Yes)、共通末尾文字列抽出部10はS10へ処理を戻し、存在しない場合(S13:No)、共通末尾文字列抽出部10はS14へ処理を進める。このように、共通末尾文字列抽出部10は、S10~S12の一連の処理をブランドドメインリスト20の中に未選択のブランドドメインが存在しなくなるまで繰り返す。
ついで、共通末尾文字列抽出部10は、共通末尾文字列データ23における共通ブランド数閾値21以上の共通末文字列について,共通ブランド数をキーにソーティングし(S14)、処理を終了する。
図3は、共通末尾文字列データ23の一例を説明する説明図である。図3に示すように、共通末尾文字列データ23には、「共通末尾文字列」の列に「e」「n」「x」といったブランドドメインリスト20のブランドドメインに共通していた末尾文字列、「共通ブランド数」の列に「100」「80」「70」といった共通していたブランド数が格納されている。
図1に戻り、登録ドメイン問合せ部11は、共通末尾文字列データ23と登録ドメインデータ24とを入力とし、入力されたデータに基づいて共通末尾登録ドメインデータ25を出力する処理部である。具体的には、登録ドメイン問合せ部11は、共通末尾文字列を名称とするドメインがTDLに登録済であるか否か、すなわちドメイン名空間に存在するドメインであるか否かを確認し、登録済みのドメインを共通末尾登録ドメインデータ25として出力する。
図4は、登録ドメイン問合わせ処理の一例を示すフローチャートである。図4に示すように、登録ドメイン問合わせ処理が開始されると、登録ドメイン問合せ部11は、共通末尾文字列データ23から未選択の共通末尾文字列を1つ選択する(S20)。ついで、登録ドメイン問合せ部11は、登録ドメインデータ24を参照し、登録が確認できたものを共通末尾登録ドメインデータ25に登録する(S21)。ついで、登録ドメイン問合せ部11は、未選択の共通末尾文字列が共通末尾文字列データ23に存在するか否かを判定し(S23)、存在する場合(S23:Yes)はS20へ処理を戻し、存在しない場合(S23:No)は処理を終了する。
ここで、登録ドメインデータ24は、DNSサーバ等に格納されている登録済みのドメインを示すデータである。登録ドメイン問合せ部11は、登録ドメインデータ24の参照の際にはSLDでマッチングし、全てのTDLに対する登録ドメインを抽出する。登録ドメイン問合せ部11は、この一連の処理(S20~S23)を未選択の共通末尾文字列が存在しなくなるまで繰り返す。
図5は、共通末尾登録ドメインデータ25の一例を説明する説明図である。図5に示すように、共通末尾登録ドメインデータ25において、「共通末尾登録ドメイン」の列には「e.TLD1」「e.TLD2」といったいくつかのTLD(例えばTLD1、TLD2は「us」、「com」等)において登録が確認できた「e」ドメインが格納されている。
図1に戻り、部分文字列占拠検知部12は、共通末尾登録ドメインデータ25、ブランドドメインリスト20、ドメインパーキングリスト27およびPassiveDNS DB26を入力として部分文字列占拠サブドメインデータ28を出力する処理部である。具体的には、部分文字列占拠検知部12は、共通末尾登録ドメインデータ25に含まれるドメインの文字列と、そのドメインについて名前解決が観察されたサブドメインの文字列とを連結した文字列を生成する。ついで、部分文字列占拠検知部12は、この連結した文字列のドメインがブランドドメインリスト20に含まれている場合に該当するブランドドメインの不正利用として検知し、検知結果を部分文字列占拠サブドメインデータ28として出力する。
図6は、部分文字列占拠検知処理の一例を示すフローチャートである。図6に示すように、部分文字列占拠検知処理が開始されると、部分文字列占拠検知部12は、共通末尾登録ドメインデータ25から未選択の共通末尾登録ドメインを1つ選択する(S30)。
ついで、部分文字列占拠検知部12は、選択した共通末尾登録ドメインに対してPassiveDNS DB26を参照し、名前解決が観察されたサブドメイン群とネームサーバ群を抽出する(S31)。例えば、部分文字列占拠検知部12は、Farsight Security(登録商標)社が提供するDNS DBを利用する場合には、API(Application Programming Interface)のワイルドカード機能を利用すればドメインに対するA,AAAA,CNAME,NS等のレコードを抽出することができる。部分文字列占拠検知部12は、この抽出したレコードより、Aレコードの中のサブドメインの形式でクエリが出されたレコードと、NSレコードとを抽出する。
ついで、部分文字列占拠検知部12は、抽出したサブドメイン群から、共通末尾登録ドメインと組み合わせて連結した文字列を生成し、生成した文字列のドメインについてブランドドメインリスト20に含まれるブランドドメインと一致するものを全て検出する。ついで、部分文字列占拠検知部12は、検出したブランドドメインについて、ネームサーバとともに、部分文字列占拠サブドメインデータ28に登録する(S32)。
ついで、部分文字列占拠検知部12は、ドメインパーキングリスト27に共通末尾登録ドメインについて該当するネームサーバが存在すれば「Parked」、しなければ「NA」を登録する(S33)。ドメインパーキングリスト27は、各ドメインについて、ドメインのパーキングサービスの利用の有無を記述したデータである。「Parked」は、パーキングサービスの利用を示し、「NA」はパーキングサービスの利用の該当なしを示す。
ついで、部分文字列占拠検知部12は、未選択の共通末尾登録ドメインが共通末尾登録ドメインデータ25に存在するか否かを判定し(S34)、存在する場合(S34:Yes)はS30へ処理を戻し、存在しない場合(S34:No)は処理を終了する。部分文字列占拠検知部12は、この一連の処理(S30~S33)を未選択の共通末尾登録ドメインが存在しなくなるまで繰り返す。
図7は、部分文字列占拠サブドメインデータ28の一例を説明する説明図である。図7に示すように、部分文字列占拠サブドメインデータ28において、「部分文字列占拠サブドメイン」の列には「zoogl.e.TLD1」「bppl.e.TLD1」「xdob.e.TLD1」といったe.TLD1に対して名前解決の履歴が確認できたサブドメインが格納されている。また、「ネームサーバ」の列には、「ns1.parking1.com」といったネームサーバ,「パークドメイン」にはネームサーバがパーキングサービスプロバイダであることを示す「Parked」が格納されている。
図1に戻り、リスク評価部13は、部分文字列占拠サブドメインデータ28を入力として、ブランドドメイン被害状況データ29およびTLD悪用状況データ30を出力する処理部である。具体的には、リスク評価部13は、部分文字列占拠検知部12の検知結果をもとに、ブランドドメインの不正利用に関するリスクを評価し、評価結果をブランドドメイン被害状況データ29およびTLD悪用状況データ30として出力する。
図8は、リスク評価処理の一例を示すフローチャートである。図8に示すように、リスク評価処理が開始されると、リスク評価部13は、部分文字列占拠サブドメインデータ28から未選択の部分文字列占拠ドメインを1つ選択する(S40)。
ついで、リスク評価部13は、選択した部分文字列占拠サブドメインのサブドメインとドメインを連結した文字列を取得する(S41)。ついで、リスク評価部13は、連結した文字列がブランドドメイン被害状況データ29に登録されているか否かを判定する(S42)。なお、以下では、連結した文字列のドメインについてのリスク評価を例示するが、連結前の部分文字列占拠サブドメインにおけるドメインの評価であってもよい。
ブランドドメイン被害状況データ29に登録されている場合(S42:Yes)、リスク評価部13は、ブランドドメイン被害状況データ29のサブドメイン数を+1とし(S43)、S45へ処理を進める。ブランドドメイン被害状況データ29に登録されていない場合(S42:No)、リスク評価部13は、連結した文字列のブランドドメインをブランドドメイン被害状況データ29に新規登録し(S44)、S45へ処理を進める。
ついで、リスク評価部13は、連結した文字列のドメインがパークドメインであるか否かを部分文字列占拠サブドメインデータ28のパークドメインの列をもとに判定する(S45)。
パークドメインである場合(S45:Yes)、リスク評価部13は、ブランドドメイン被害状況データ29のパークドメイン数を+1とし(S46)、S47へ処理を進める。パークドメインでない場合(S45:No)、リスク評価部13は、S46をスキップしてS47へ処理を進める。
ついで、リスク評価部13は、脅威情報登録サイト等が提供するサイバー攻撃に関する脅威情報をもとに、連結した文字列のドメインの悪性判定を行う(S47)。ここで、脅威情報とは、サイバー攻撃の攻撃者の動機、目的、特徴や手口等を整理した攻撃情報を示すサイバースレットインテリジェンス(CTI)のことをいう。
具体的には、リスク評価部13は、連結した文字列のドメインが脅威情報に含まれている場合は悪性と判定し(S47:Yes)、悪性判定数を+1とする(S48)。連結した文字列のドメインが脅威情報に含まれていない場合(S47:No)、リスク評価部13は、S48をスキップしてS49へ処理を進める。
ついで、リスク評価部13は、連結した文字列のドメインに関するTLDがTLD悪用状況データ30に登録されているか否かを判定する(S49)。TLDがTLD悪用状況データ30に登録されている場合(S49:Yes)、リスク評価部13は、TLD悪用状況データ30のサブドメイン数を+1とし(S50)、S52へ処理を進める。TLD悪用状況データ30に登録されていない場合(S49:No)、リスク評価部13は、TLDをTLD悪用状況データ30に新規登録し(S51)、S52へ処理を進める。
ついで、リスク評価部13は、未選択の部分文字列占拠サブドメインが部分文字列占拠サブドメインデータ28に存在するか否かを判定し(S52)、存在する場合(S52:Yes)はS40へ処理を戻し、存在しない場合(S52:No)は処理を終了する。リスク評価部13は、この一連の処理(S40~S51)を未選択の部分文字列占拠サブドメインが存在しなくなるまで繰り返す。
図9は、ブランドドメイン被害状況データ29の一例を説明する説明図である。図9に示すように、ブランドドメイン被害状況データ29において、「ブランドドメイン」の列には「zoogle」「bpple」、「xdobe」といった被害を受けたブランド名が格納されている。また、「サブドメイン数」の列には、「100」、「95」、「90」といったブランドドメインが悪用されたサブドメインの数が格納されている。また、「パークドメイン数」の列には「70」、「60」、「50」といった悪用されたサブドメインの内、パークドメインだった数が格納されている。また、「悪性判定数」の列には「5」、「3」、「2」といった脅威情報で悪性が確認できたサブドメインの数が格納されている。
図10は、TLD悪用状況データ30の一例を説明する説明図である。図10に示すように、TLD悪用状況データ30において、「TLD」の列には、悪用されたTLDである「TLD1」、「TLD3」、「TDL7」が格納されている(TLD1、TLD3…は、例えば「com」、「us」などに対応)。また、「サブドメイン数」の列には、「120」、「110」、「85」といった悪用されたTLDに関連したサブドメインの数が格納されている。
以上のように、情報処理装置1では、ドメイン名空間における第1階層のドメインの文字列と、第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成する。また、情報処理装置1では、特定のドメインを少なくとも1つ記述したドメインリスト(共通ブランド数閾値21)に、生成した文字列のドメインが含まれている場合に特定のドメインの不正利用についての指標となる情報を出力する。
これにより、情報処理装置1では、第1階層のドメインと、第1階層の次の第2階層のドメインの文字列とを連結した文字列が特定のドメインとなるような、特定のドメインに見せかけるドメインの悪用を検知することができる。例えば、情報処理装置1は、ブランドドメインの部分文字列をドメインとして登録し、ドメイン全体をサブドメインで補完するようにして行われる、部分文字列占拠ドメイン悪用手法を検知することができる。
また、情報処理装置1は、ドメインリストに記述された特定のドメインの末尾を含む1または複数の文字列のドメインがドメイン名空間に存在するか否かに基づいて第1階層のドメインを特定する。これにより、情報処理装置1は、特定のドメインの末尾を含む部分文字列のドメインを、第1階層のドメインとして絞り込むことができる。
また、本実施例の情報処理装置1において、第1階層のドメインは、TLD(Top Level Domain)に対して登録済みのSLD(Second Level Domain)とする。これにより、情報処理装置1は、SLDと、SLDのサブドメインとを連結させることで特定のドメインと見せかけるようなドメインの不正利用を検知することができる。なお、第1階層のドメインは、サードレベルドメイン以降の階層とすることも可能である。
また、情報処理装置1は、第1階層のドメインにおける名前解決が確認されたサブドメイン群の中のドメインの文字列を第1階層のドメインの文字列と連結する。このように、情報処理装置1は、名前解決が確認されたサブドメイン群の中のドメインの文字列を第1階層のドメインの文字列と連結してドメインリストからの不正利用を検知することで、効率的に不正利用を検知できる。
例えば、ブランドドメインの数は多く、かつ全てのブランドドメインが被害を受けているわけではないので、全てのブランドドメインに対して部分文字列占拠を調査するにはPassive DNSの大量のクエリが必要となり効率的ではない。情報処理装置1では悪用されたとしたときに多くのブランドドメインに使い回せるドメインをベースに名前解決が観察されたサブドメインの中から被害を受けたブランドドメインを探索するので、効率的である。また、不正利用の検知により、被害が多いブランドドメインがあれば、フィッシング詐欺などの調査を行い、ブラックリストの提供や注意喚起などが可能となる。
また、情報処理装置1は、特定のドメインの不正利用が検知された第1階層のドメインがサイバー攻撃に関する脅威情報に含まれているか否かに基づいて特定のドメインに対する悪性度を判定する。これにより、情報処理装置1では、特定のドメインの不正利用が検知された第1階層のドメインにおける、特定のドメインに対する悪性度を評価することができる。
また、情報処理装置1は、特定のドメインの不正利用が検知された第1階層のドメインがパークドメインであるか否かを判定する。これにより、情報処理装置1では、特定のドメインの不正利用が検知された第1階層のドメインがパークドメインとして活用されているか否かを識別することができる。
なお、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、情報処理装置1の共通末尾文字列抽出部10、登録ドメイン問合せ部11、部分文字列占拠検知部12およびリスク評価部13に関する各種処理機能は、CPU(またはMPU、MCU(Micro Controller Unit)等のマイクロ・コンピュータ)上で、その全部または任意の一部を実行するようにしてもよい。また、各種処理機能は、CPU(またはMPU、MCU等のマイクロ・コンピュータ)で解析実行されるプログラム上、またはワイヤードロジックによるハードウエア上で、その全部または任意の一部を実行するようにしてもよいことは言うまでもない。また、情報処理装置1で行われる各種処理機能は、クラウドコンピューティングにより、複数のコンピュータが協働して実行してもよい。
ところで、上記の実施形態で説明した各種の処理は、予め用意されたプログラムをコンピュータで実行することで実現できる。そこで、以下では、上記の実施形態と同様の機能を有するプログラムを実行するコンピュータ構成(ハードウエア)の一例を説明する。図11は、コンピュータ構成の一例を説明位する説明図である。
図11に示すように、コンピュータ200は、各種演算処理を実行するCPU201と、データ入力を受け付ける入力装置202と、モニタ203と、スピーカー204とを有する。また、コンピュータ200は、記憶媒体からプログラム等を読み取る媒体読取装置205と、各種装置と接続するためのインタフェース装置206と、有線または無線により外部機器と通信接続するための通信装置207とを有する。また、コンピュータ200は、各種情報を一時記憶するRAM208と、ハードディスク装置209とを有する。また、コンピュータ200内の各部(201~209)は、バス210に接続される。
ハードディスク装置209には、上記の実施形態で説明した機能構成(例えば共通末尾文字列抽出部10、登録ドメイン問合せ部11、部分文字列占拠検知部12およびリスク評価部13)における各種の処理を実行するためのプログラム211が記憶される。また、ハードディスク装置209には、プログラム211が参照する各種データ212が記憶される。入力装置202は、例えば、操作者から操作情報の入力を受け付ける。モニタ203は、例えば、操作者が操作する各種画面を表示する。インタフェース装置206は、例えば印刷装置等が接続される。通信装置207は、LAN(Local Area Network)等の通信ネットワークと接続され、通信ネットワークを介した外部機器との間で各種情報をやりとりする。
CPU201は、ハードディスク装置209に記憶されたプログラム211を読み出してRAM208に展開し、プログラム211に関するプロセスを実行することで、上記の機能構成(例えば共通末尾文字列抽出部10、登録ドメイン問合せ部11、部分文字列占拠検知部12およびリスク評価部13)を実現する。なお、プログラム211は、ハードディスク装置209に記憶されていなくてもよい。例えば、コンピュータ200が読み取り可能な記憶媒体に記憶されたプログラム211を読み出して実行するようにしてもよい。コンピュータ200が読み取り可能な記憶媒体は、例えば、CD-ROMやDVDディスク、USB(Universal Serial Bus)メモリ等の可搬型記録媒体、フラッシュメモリ等の半導体メモリ、ハードディスクドライブ等が対応する。また、公衆回線、インターネット、LAN等に接続された装置にこのプログラム211を記憶させておき、コンピュータ200がこれらからプログラム211を読み出して実行するようにしてもよい。
以上の実施形態に関し、さらに以下の付記を開示する。
(付記1)ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
処理をコンピュータに実行させることを特徴とするドメイン検索プログラム。
(付記2)前記ドメインリストに記述された特定のドメインの末尾を含む1または複数の文字列のドメインが前記ドメイン名空間に存在するか否かに基づいて前記第1階層のドメインを特定する処理をさらにコンピュータに実行させる、
付記1に記載のドメイン検索プログラム。
(付記3)前記第1階層のドメインは、TLD(Top Level Domain)に対して登録済みのSLD(Second Level Domain)である、
ことを特徴とする付記2に記載のドメイン検索プログラム。
(付記4)前記生成する処理は、前記第1階層のドメインにおける名前解決が確認された前記第2階層のドメイン群の中のドメインの文字列を前記第1階層のドメインの文字列と連結する、
ことを特徴とする付記1乃至3のいずれか一に記載のドメイン検索プログラム。
(付記5)前記特定のドメインの不正利用が検知された前記第1階層のドメインがサイバー攻撃に関する脅威情報に含まれているか否かに基づいて前記特定のドメインに対する悪性度を判定する処理をさらにコンピュータに実行させる、
ことを特徴とする付記1乃至4のいずれか一に記載のドメイン検索プログラム。
(付記6)前記特定のドメインの不正利用が検知された前記第1階層のドメインがパークドメインであるか否かを判定する処理をさらにコンピュータに実行させる、
ことを特徴とする付記1乃至5のいずれか一に記載のドメイン検索プログラム。
(付記7)ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
処理をコンピュータが実行することを特徴とするドメイン検索方法。
(付記8)前記ドメインリストに記述された特定のドメインの末尾を含む1または複数の文字列のドメインが前記ドメイン名空間に存在するか否かに基づいて前記第1階層のドメインを特定する処理をさらにコンピュータが実行する、
付記7に記載のドメイン検索方法。
(付記9)前記第1階層のドメインは、TLD(Top Level Domain)に対して登録済みのSLD(Second Level Domain)である、
ことを特徴とする付記8に記載のドメイン検索方法。
(付記10)前記生成する処理は、前記第1階層のドメインにおける名前解決が確認された前記第2階層のドメイン群の中のドメインの文字列を前記第1階層のドメインの文字列と連結する、
ことを特徴とする付記7乃至9のいずれか一に記載のドメイン検索方法。
(付記11)前記特定のドメインの不正利用が検知された前記第1階層のドメインがサイバー攻撃に関する脅威情報に含まれているか否かに基づいて前記特定のドメインに対する悪性度を判定する処理をさらにコンピュータが実行する、
ことを特徴とする付記7乃至10のいずれか一に記載のドメイン検索方法。
(付記12)前記特定のドメインの不正利用が検知された前記第1階層のドメインがパークドメインであるか否かを判定する処理をさらにコンピュータが実行する、
ことを特徴とする付記7乃至11のいずれか一に記載のドメイン検索方法。
(付記13)ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
処理を実行する制御部を有することを特徴とする情報処理装置。
(付記14)前記ドメインリストに記述された特定のドメインの末尾を含む1または複数の文字列のドメインが前記ドメイン名空間に存在するか否かに基づいて前記第1階層のドメインを特定する処理をさらに制御部が実行する、
付記13に記載の情報処理装置。
(付記15)前記第1階層のドメインは、TLD(Top Level Domain)に対して登録済みのSLD(Second Level Domain)である、
ことを特徴とする付記14に記載の情報処理装置。
(付記16)前記生成する処理は、前記第1階層のドメインにおける名前解決が確認された前記第2階層のドメイン群の中のドメインの文字列を前記第1階層のドメインの文字列と連結する、
ことを特徴とする付記13乃至15のいずれか一に記載の情報処理装置。
(付記17)前記特定のドメインの不正利用が検知された前記第1階層のドメインがサイバー攻撃に関する脅威情報に含まれているか否かに基づいて前記特定のドメインに対する悪性度を判定する処理をさらに制御部が実行する、
ことを特徴とする付記13乃至16のいずれか一に記載の情報処理装置。
(付記18)前記特定のドメインの不正利用が検知された前記第1階層のドメインがパークドメインであるか否かを判定する処理をさらに制御部が実行する、
ことを特徴とする付記13乃至17のいずれか一に記載の情報処理装置。
1…情報処理装置
10…共通末尾文字列抽出部
11…登録ドメイン問合せ部
12…部分文字列占拠検知部
13…リスク評価部
20…ブランドドメインリスト
21…共通ブランド数閾値
23…共通末尾文字列データ
24…登録ドメインデータ
25…共通末尾登録ドメインデータ
26…PassiveDNS DB
27…ドメインパーキングリスト
28…部分文字列占拠サブドメインデータ
29…ブランドドメイン被害状況データ
30…TLD悪用状況データ
200…コンピュータ
201…CPU
202…入力装置
203…モニタ
204…スピーカー
205…媒体読取装置
206…インタフェース装置
207…通信装置
208…RAM
209…ハードディスク装置
210…バス
211…プログラム
212…各種データ

Claims (8)

  1. ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
    特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
    処理をコンピュータに実行させることを特徴とするドメイン検索プログラム。
  2. 前記ドメインリストに記述された特定のドメインの末尾を含む1または複数の文字列のドメインが前記ドメイン名空間に存在するか否かに基づいて前記第1階層のドメインを特定する処理をさらにコンピュータに実行させる、
    請求項1に記載のドメイン検索プログラム。
  3. 前記第1階層のドメインは、TLD(Top Level Domain)に対して登録済みのSLD(Second Level Domain)である、
    ことを特徴とする請求項2に記載のドメイン検索プログラム。
  4. 前記生成する処理は、前記第1階層のドメインにおける名前解決が確認された前記第2階層のドメイン群の中のドメインの文字列を前記第1階層のドメインの文字列と連結する、
    ことを特徴とする請求項1乃至3のいずれか一項に記載のドメイン検索プログラム。
  5. 前記特定のドメインの不正利用が検知された前記第1階層のドメインがサイバー攻撃に関する脅威情報に含まれているか否かに基づいて前記特定のドメインに対する悪性度を判定する処理をさらにコンピュータに実行させる、
    ことを特徴とする請求項1乃至4のいずれか一項に記載のドメイン検索プログラム。
  6. 前記特定のドメインの不正利用が検知された前記第1階層のドメインがパークドメインであるか否かを判定する処理をさらにコンピュータに実行させる、
    ことを特徴とする請求項1乃至5のいずれか一項に記載のドメイン検索プログラム。
  7. ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
    特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
    処理をコンピュータが実行することを特徴とするドメイン検索方法。
  8. ドメイン名空間における第1階層のドメインの文字列と、前記第1階層の下位の階層となる第2階層のドメインの文字列とを連結した文字列を生成し、
    特定のドメインを少なくとも1つ記述したドメインリストに、生成した前記文字列のドメインが含まれている場合に前記特定のドメインの不正利用についての指標となる情報を出力する、
    処理を実行する制御部を有することを特徴とする情報処理装置。
JP2021178730A 2021-11-01 2021-11-01 ドメイン検索プログラム、ドメイン検索方法および情報処理装置 Pending JP2023067463A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021178730A JP2023067463A (ja) 2021-11-01 2021-11-01 ドメイン検索プログラム、ドメイン検索方法および情報処理装置
EP22182554.0A EP4174684A1 (en) 2021-11-01 2022-07-01 Domain search program, method of searching domain, and information processing apparatus
US17/857,086 US20230133524A1 (en) 2021-11-01 2022-07-04 Non-transitory computer-readable storage medium for storing domain search program, method of searching domain, and information processing apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021178730A JP2023067463A (ja) 2021-11-01 2021-11-01 ドメイン検索プログラム、ドメイン検索方法および情報処理装置

Publications (1)

Publication Number Publication Date
JP2023067463A true JP2023067463A (ja) 2023-05-16

Family

ID=82547365

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021178730A Pending JP2023067463A (ja) 2021-11-01 2021-11-01 ドメイン検索プログラム、ドメイン検索方法および情報処理装置

Country Status (3)

Country Link
US (1) US20230133524A1 (ja)
EP (1) EP4174684A1 (ja)
JP (1) JP2023067463A (ja)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5588845B2 (ja) 2010-11-29 2014-09-10 有限会社アイ・アール・ディー 不正ドメイン検知装置、不正ドメイン検知方法、およびプログラム
JP5465651B2 (ja) 2010-11-30 2014-04-09 日本電信電話株式会社 リスト生成方法、リスト生成装置及びリスト生成プログラム
US9762612B1 (en) * 2017-05-17 2017-09-12 Farsight Security, Inc. System and method for near real time detection of domain name impersonation
US10673814B1 (en) * 2017-08-28 2020-06-02 Proofpoint, Inc. Domain name classification systems and methods
JP6947307B2 (ja) 2018-07-25 2021-10-13 日本電信電話株式会社 解析装置、解析方法及び解析プログラム

Also Published As

Publication number Publication date
US20230133524A1 (en) 2023-05-04
EP4174684A1 (en) 2023-05-03

Similar Documents

Publication Publication Date Title
JP6871357B2 (ja) オンライン詐欺を検出するためのシステムおよび方法
Quinkert et al. It's not what it looks like: Measuring attacks and defensive registrations of homograph domains
US9521161B2 (en) Method and apparatus for detecting computer fraud
Nikiforakis et al. Soundsquatting: Uncovering the use of homophones in domain squatting
WO2015051720A1 (zh) 检测可疑dns的方法、装置和可疑dns的处理方法、系统
US20090055928A1 (en) Method and apparatus for providing phishing and pharming alerts
WO2016140038A1 (ja) 通信先悪性度算出装置、通信先悪性度算出方法及び通信先悪性度算出プログラム
US11750649B2 (en) System and method for blocking phishing attempts in computer networks
US11178175B2 (en) Combo-squatting domain linkage
CN107241292B (zh) 漏洞检测方法及装置
Piredda et al. Deepsquatting: Learning-based typosquatting detection at deeper domain levels
US20220201036A1 (en) Brand squatting domain detection systems and methods
CN113810518A (zh) 有效子域名识别方法、装置和电子设备
JPWO2020021811A1 (ja) 解析装置、解析方法及び解析プログラム
JP2023067463A (ja) ドメイン検索プログラム、ドメイン検索方法および情報処理装置
Chen et al. Doctrina: annotated bipartite graph mining for malware-control domain detection
US20230388342A1 (en) Computer-readable recording medium storing domain detection program, domain detection method, and information processing device
Sonowal et al. What Does a Phishing URL Look Like?
Kumar et al. When Diversity Meets Hostility: A Study of Domain Squatting Abuse in Online Banking
Marchai et al. Semantic based DNS forensics
CN114095252B (zh) Fqdn域名检测方法、装置、计算设备及存储介质
JPWO2019053882A1 (ja) 検証装置、検証プログラム及び検証方法
Frischknecht et al. Detection of Cybersquatted Domains
Sasongko et al. Typosquatting Potential on the Official Website (An Empirical Study of Popular Webites in Indonesia)
Kidmose et al. Heuristic methods for efficient identification of abusive domain names