WO2022044334A1

WO2022044334A1 - 判定装置、判定方法、および、判定プログラム

Info

Publication number: WO2022044334A1
Application number: PCT/JP2020/032935
Authority: WO
Inventors: 大紀千葉; 満昭秋山
Original assignee: 日本電信電話株式会社
Priority date: 2020-08-31
Filing date: 2020-08-31
Publication date: 2022-03-03
Also published as: JPWO2022044334A1; US20230308478A1; EP4187412A4; EP4187412A1

Abstract

特定装置（１０）は、所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける。次に、特定装置（１０）は、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報と、入力されたドメイン名の時系列情報とに基づき、ドメイン名の運用形態の時系列の変化のパターンを特定する。そして、特定装置（１０）は、特定の結果を用いて、所定日時以後における当該ドメイン名の運用形態の候補を特定する。その後、特定装置（１０）は、特定された所定日時以降の当該ドメイン名の運用形態の候補に基づき、当該ドメイン名が悪性ドメイン名か否かの再判断の対象とするか否かを判定する。

Description

判定装置、判定方法、および、判定プログラム

　本発明は、判定装置、判定方法、および、判定プログラムに関する。

　従来、攻撃に関与するWebサイトへの対策として、既に特定された攻撃目的のWebサイトのドメイン名（既知悪性ドメイン名）をリスト化したブロックリストやブラックリストと呼ばれるリストを、WebフィルタリングやDNS（Domain　Name　System）フィルタリングに設定することが行われている。また、上記の既知悪性ドメイン名を利用して、まだリスト化されていない攻撃目的のドメイン名（未知の悪性ドメイン名）を特定する技術も提案されている（特許文献１参照）。

　ここで、ドメイン名は同じ状態で継続的に運用されているわけではなく、用途が変わったり、一時的に運用が停止されたりする。

　例えば、ドメインパーキングというサービスがある。このサービスは、一時的に運用が停止されたドメインに、事業者が広告等を表示し、広告報酬の一部をドメイン名の登録者に支払うサービスである。また、ドメイン名を登録し続けるには１年ごとの契約更新が必要であり、契約更新が行われなければ、ドメイン名は失効し、運用は停止される。このように、ドメイン名は継続的に同じ状態で運用されるわけではなく、ドメイン名登録者の都合や、契約状況に応じてその運用が変化していく。

　上記のような変化に対応し、悪性ドメイン名を特定するためには、継続的かつリアルタイムに、インターネット上に現存するあらゆるドメイン名が悪性ドメイン名か否かを判断し続ける必要がある。

特許第6196008号公報

　しかし、限られた計算リソースで、継続的かつリアルタイムに、インターネット上に現存するあらゆるドメイン名が悪性ドメイン名か否かを判断し続けることは困難である。そのためWebサイトが攻撃に利用された後、即時かつ正確に悪性ドメイン名を特定することは困難であるという問題がある。

　そこで、本発明は、前記した問題を解決し、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することを課題とする。

　前記した課題を解決するため、本発明は、所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける入力部と、前記入力されたドメイン名の時系列情報と、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する特定部と、前記特定された前記所定日時以降の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する判定部と、前記判定の結果を出力する出力部と、を備えることを特徴とする。

　本発明によれば、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することができる。

図１は、ドメイン名が登録されてから失効するまでの期間を対象にした、ドメイン名の運用形態の変化の時系列パターンの例を示す図である。図２は、ドメイン名の再登録の前後におけるドメイン名の運用形態の変化の時系列パターンの例を示す図である。図３は、ドメイン名が複数の事業者に運用される場合のドメイン名の運用形態の変化の時系列パターンの例を示す図である。図４は、特定装置の構成例を示す図である。図５は、DNSデータセットの例を示す図である。図６は、ドメイン名の登録情報の例を示す図である。図７は、ドメイン名のブラックリストの例を示す図である。図８は、特定装置の処理手順の例を示すフローチャートである。図９は、特定装置による特定処理の結果の例を示す図である。図１０は、プログラムを実行するコンピュータの例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は本実施形態に限定されない。

［概要］
　まず、図１～図３を用いて、本実施形態の特定装置（判定装置）の概要を説明する。例えば、特定装置は、入力されたドメイン名のドメインパーキングの利用や、悪性利用等、運用形態の変化を時系列で示した時系列情報に基づき、当該ドメイン名が悪性ドメイン名か否かの再判断が必要なドメイン名か否かを判定する。例えば、特定装置は、ドメイン名のドメインパーキングの利用と悪性利用との時間的な関係に基づき、当該ドメイン名の運用形態の変化のパターンを特定する。そして、特定装置は、特定したパターンに基づき、当該ドメイン名が所定日時以降、悪性ドメイン名に変化する可能性があるか否かを判定する。

　例えば、図１に示すように、ドメイン名の登録（または再登録）からDNSの設定後、当該ドメイン名が失効するまで間における、ドメインパーキング（パーキング）の利用と悪性利用との時間的な関係は、パターン１～９のいずれかに該当する。このうち、パターン２，４，７は、ドメインパーキング利用後に悪性利用に変化するパターンである。よって、特定装置は、当該ドメイン名のドメインパーキングの利用と悪性利用との時間的な関係が、パターン２，４，７に該当する場合、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。

　また、ドメイン名が失効した後に、第三者に取得されるドロップキャッチがサイバー攻撃で多用されていることが知られている。このことを鑑み、特定装置は、ドメイン名の再登録が発生したドメイン名について、再登録の前後におけるドメイン名の運用形態の変化についてもチェックする。

　例えば、図２に示すように、ドメイン名の再登録の前後における、ドメインパーキングの利用と悪性利用との時間的な関係は、パターンａ～ｃのいずれかに該当する。このうち、例えば、パターンａ，ｃは、ドメイン名のドロップキャッチにより悪性利用される可能性がある。よって、特定装置は、ドメイン名の再登録前後における、ドメインパーキングの利用と悪性利用との時間的な関係が、パターンａ，ｃに該当する場合、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。

　さらに、ドメイン名が複数のドメインパーキングに同時にまたは切り替えながら利用されている場合も、悪性利用の可能性がある。よって、特定装置は、ドメイン名が複数のドメインパーキングに同時にまたは切り替えながら利用されている場合（例えば、図３に示すパターンＡ，Ｂ，Ｃのようにドメインパーキングの事業者が変化する場合）、当該ドメイン名は所定日時以降、悪性ドメイン名に変化する可能性があると判定する。

　特定装置が、上記のようなドメイン名の運用形態の変化のパターンを特定することで、所定日時以降、悪性ドメイン名に変化する可能性があるドメイン名を特定することができる。その結果、特定装置は、限られた計算リソースで、即時かつ正確に悪性ドメイン名を特定することができる。

［構成例］
　図４は、特定装置１０の構成の一例を示す図である。図４に示すように、特定装置１０は、入力部１１と、記憶部１２と、制御部１３と、出力部１４とを備える。

　入力部１１は、制御部１３が各種処理を行う際に用いるデータの入力を受け付ける。例えば、入力部１１は、各ドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける。この時系列情報は、例えば、DNSデータセット（図５参照）、ドメイン名の登録情報（図６参照）、ドメイン名のブラックリスト（図７参照）等である。このDNSデータセット、ドメイン名の登録情報、ドメイン名のブラックリストの詳細は、図面を用いて後記する。

　記憶部１２は、制御部１３が各種処理を行う際に用いるデータを記憶する。制御部１３は、特定装置１０全体の制御を司る。例えば、制御部１３は、各ドメイン名の運用形態の変化のパターンを特定し、特定した運用形態の変化のパターン（時系列パターン）に基づき、各ドメイン名が所定日時以降、悪性ドメイン名に変化する可能性があるか否かを判定する。出力部１４は、制御部１３による処理結果を出力する。

［入力部］
　入力部１１は、DNSデータセット入力部１１１と、ドメイン名登録情報入力部１１２と、ドメイン名ブラックリスト入力部１１３とを備える。

　DNSデータセット入力部１１１は、DNSデータセットの入力を受け付ける。DNSデータセットは、ドメイン名ごとに、当該ドメイン名を管理するNS（ネームサーバ）のホスト名、当該NSのホスト名を確認した日時（タイムスタンプ）等を示した情報である。

　図５は、DNSデータセットの一例を示す図である。例えば、図５に示すDNSデータセットの通番1のデータは、「example.com」というドメイン名の2020年6月1日におけるIPv4アドレス（Aレコード）は「192.0.2.1」であり、NSのホスト名（NSレコード）は「ns.malicious.example」であることを示している。また、通番2のデータは、上記の「example.com」というドメイン名の2020年7月1日におけるAレコードは「203.0.113.1」であり、NSレコードは「ns.parking.example」であることを示している。

　また、上記のDNSデータセットにおける、NSレコード「ns.parking.example」および「ns.parking2.example」は、それぞれパーキング事業者の指定するNSレコードを意味し、各々別のパーキング事業者のものであるとする。

　例えば、通番7のデータは、「example.jp」というドメイン名の2020年7月1日におけるNSレコードは「ns.parking.example」と「ns.parking2.example」であり、「example.jp」は複数のパーキング事業者のドメインパーキングを利用していることを示す。

　図４のドメイン名登録情報入力部１１２は、ドメイン名の登録情報の入力を受け付ける。ドメイン名の登録情報は、ドメイン名ごとに、当該ドメイン名の登録日および失効日（登録を継続しなかった場合の失効予定日）を示した情報である。

　図６は、ドメイン名の登録情報の一例を示す図である。例えば、図６に示すドメイン名の登録情報の通番1のデータは、「example.com」というドメイン名の登録日は2020年5月31日であり、失効日は2021年5月31日であることを示す。なお、このドメイン名の登録情報は、ドメイン名の登録者の情報を含んでいてもよい。

　図４のドメイン名ブラックリスト入力部１１３は、ドメイン名のブラックリスト（悪性ドメイン名のリスト）の入力を受け付ける。図７は、ドメイン名のブラックリストの一例を示す図である。例えば、図７に示すドメイン名のブラックリストの通番1のデータは、「example.com」というドメイン名が、2020年6月1日の時点でドメイン名のブラックリストに掲載されていることを示している。

　なお、図５に示したDNSデータセット、図６に示したドメイン名の登録情報、および、図７に示したドメイン名のブラックリストは、１日１回更新されることを想定しているが、この更新頻度には上記の頻度に限定されない。

［記憶部］
　次に、図４の記憶部１２を説明する。記憶部１２は、第１のパターン情報と、第２のパターン情報と、第３のパターン情報とを記憶する。

［第１のパターン情報］
　第１のパターン情報は、ドメイン名が登録されてから失効するまでの単一の期間（ライフサイクル）を対象にした時系列パターンを示す情報である。この第１のパターン情報の一例を図１に示す。

　図１の例では、ドメイン名の運用形態として、（１）ドメインパーキングを利用する運用と、（２）悪性活動に利用する運用（悪性利用）、という２つの運用形態の時系列変化としてあり得る９個の時系列パターンの例を示している。

　パターン１は、あるライフサイクルの指定期間内にドメインパーキングにのみ利用され、悪性利用はされない時系列パターンである。

　パターン２は、ドメインパーキングに利用された後、期間をあけて悪性利用される時系列パターンである（ドメインパーキング後に悪性利用）。

　パターン３は、悪性利用された後、期間をあけてドメインパーキングに利用される時系列パターンである（悪性利用後にドメインパーキング）。

　パターン４は、ドメインパーキングの利用開始後、ドメインパーキングの利用が終了する前に悪性利用も始まり、両方の利用期間が部分的に重複する時系列パターンである（ドメインパーキング後に悪性利用（一部重複））。

　パターン５は、悪性利用の開始後、悪性利用が終了する前にドメインパーキングの利用も始まり、両方の利用期間が部分的に重複する時系列パターンである（悪性利用後にドメインパーキング（一部重複））。

　パターン６は、ドメインパーキングに利用される期間と悪性利用される期間が同じという時系列パターンである。

　パターン７は、ドメインパーキングに利用される期間が悪性利用される期間を包含する時系列パターンである。

　パターン８は、悪性利用される期間がドメインパーキングに利用される期間を包含する時系列パターンである。

　パターン９は、悪性利用のみの時系列パターンである。

　なお、対象ドメイン名がドメインパーキングに利用されているか否かは、例えば、ドメイン名の登録情報（図６参照）における、ドメイン名に対応するNSレコードと、事前に入手したパーキング情報とのマッチングにより判定することができる。また、対象ドメイン名が悪性利用されているか否かは、例えば、ドメイン名のブラックリスト情報（図７参照）を参照することで判定することができる。

［第２のパターン情報］
　次に、第２のパターン情報を説明する。第２のパターン情報は、ドメイン名の再登録の前後における当該ドメイン名の運用形態の変化のパターンを示す情報である。この第２のパターン情報の一例を図２に示す。

　パターンａは、ドメインパーキングに利用されていたドメイン名が失効し、再登録された後、再度ドメインパーキングに利用される時系列パターンである。なお、当該パターンにおいて、ドメイン名の再登録の前後における当該ドメイン名の悪性利用の有無は問わない。

　パターンｂは、ドメインパーキングに利用されていたドメイン名が失効し、再登録された後、悪性利用される時系列パターンである。なお、当該パターンにおいて、再登録後の当該ドメイン名のドメインパーキングの有無は問わない。

　パターンｃは、悪性利用されたドメイン名が失効し、再登録された後、ドメインパーキングに利用される時系列パターンである。なお、当該パターンにおいて、再登録後の当該ドメイン名の悪性利用の有無は問わない。

［第３のパターン情報］
　次に、第３のパターン情報を説明する。第３のパターン情報は、ドメイン名が複数のネームサーバ（複数のドメインパーキング事業者）を同時にまたは切り替えながら運用される際の運用形態の時系列の変化のパターンを示す情報である。

　一般に、ドメインパーキング事業者が異なる場合には、当該事業者を示すNSレコードの値も異なる。よって、例えば、DNSデータセット（図５参照）において、同じドメイン名に対するNSレコードが複数ある場合、当該ドメイン名を複数のドメインパーキング事業者を利用しているドメイン名として特定することができる。この第３のパターン情報の一例を図３に示す。

　図３の例では、ドメイン名の運用形態として、複数のドメインパーキング事業者を利用したドメインパーキング運用を想定した時系列変化として、考えられる時系列パターンを３個示している。

　パターンＡは、複数のドメインパーキング事業者を同時にまたは切り替えながら利用する時系列パターンである。パターンＢは、複数のドメインパーキング事業者を同時に利用する時系列パターンである。パターンＣは、複数のドメインパーキング事業者を切り替えながら利用する時系列パターンである。

［制御部］
　次に、図４の制御部１３を説明する。制御部１３は、第１の特定部１３１と、第２の特定部１３２と、第３の特定部１３３と、判定部１３４とを備える。

　第１の特定部１３１は、ドメイン名の時系列情報と、第１のパターン情報とに基づき、ドメイン名が登録されてから失効するまでの期間における当該ドメイン名の運用形態の時系列パターンを特定する。そして、第１の特定部１３１は、当該特定の結果に基づき、所定日時（例えば、現時点）以後における当該ドメイン名の運用形態の候補を特定する。

　第２の特定部１３２は、ドメイン名の時系列情報と、第２のパターン情報とに基づき、ドメイン名の失効後、再登録が行われた場合、当該ドメイン名の再登録の前後における当該ドメイン名の運用形態の変化の時系列パターンを特定する。そして、第２の特定部１３２は、当該特定の結果に基づき、所定日時（例えば、現時点）以後における当該ドメイン名の運用形態の候補を特定する。

　第３の特定部１３３は、ドメイン名の時系列情報と、第３のパターン情報とに基づき、ドメイン名が複数のドメインパーキング事業者に利用されたか否かや、複数のドメインパーキング事業者に利用された場合における、当該ドメイン名の運用形態の変化の時系列パターン等を特定する。そして、第３の特定部１３３は、当該特定の結果に基づき、所定日時（例えば、現時点）以後における当該ドメイン名の運用形態の候補を特定する。

　判定部１３４は、第１の特定部１３１、第２の特定部１３２および第３の特定部１３３により特定された、所定日時以降の当該ドメイン名の運用形態の候補に基づき、当該ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する。

　例えば、第１の特定部１３１に特定された、所定日時（例えば、現時点）以降における当該ドメイン名の運用形態の候補が、図１に示すパターン２，４，７である場合、判定部１３４は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。

　また、例えば、第２の特定部１３２により特定された、所定日時（例えば、現時点）以降における当該ドメイン名の運用形態の候補が、図２に示すパターンａ，ｃである場合、判定部１３４は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。

　さらに、例えば、第３の特定部１３３により特定されたドメイン名の運用形態が、複数のネームサーバを同時にまたは切り替えながらドメイン名が運用される場合、判定部１３４は、当該ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定する。

　なお、前記した第１のパターン情報、第２のパターン情報、第３のパターン情報に示されるパターン（時系列パターン）のうち、ドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性がある運用形態の時系列パターンは、例えば、記憶部１２に記憶されているものとする。

　また、ここでは図示を省略しているが、特定装置１０は、入力されたドメイン名の運用形態が所定日時以降に悪性利用に変化する可能性があると判定された場合、当該ドメイン名が悪性利用されているか否かの判断処理を行う処理部をさらに備えていてもよい。

［処理手順の例］
　次に、図８を用いて特定装置１０の処理手順の例を説明する。まず、特定装置１０のDNSデータセット入力部１１１は、DNSデータセットの入力を受け付ける（Ｓ１）。また、ドメイン名登録情報入力部１１２は、ドメイン名の登録情報の入力を受け付ける（Ｓ２）。さらに、ドメイン名ブラックリスト入力部１１３は、ドメイン名のブラックリストの入力を受け付ける（Ｓ３）。

　その後、第１の特定部１３１は、第１のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、ドメイン名が登録されてから失効するまでの単一期間に対象としてドメイン名の運用形態の変化の時系列パターンを特定する（Ｓ４）。

　また、第２の特定部１３２は、第２のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、ドメイン名の再登録の前後の期間に対象としてドメイン名の運用形態の変化の時系列パターンを特定する（Ｓ５）。

　さらに、第３の特定部１３３は、第３のパターン情報と、DNSデータセット、ドメイン名の登録情報およびドメイン名のブラックリストとに基づき、複数のドメインパーキング事業者を同時に、または、切り替えながら運用する時系列パターンを特定する（Ｓ６）。

　その後、判定部１３４は、上記のＳ４～Ｓ６におけるドメイン名の運用の時系列パターンに基づき、今後、特定の運用形態（例えば、悪性利用）に変化する可能性の高いドメイン名を特定する（Ｓ７）。その後、判定部１３４は、Ｓ７における特定結果を出力部１４経由で出力する（Ｓ８）。

　このようにすることで特定装置１０は、今後、特定の運用形態（例えば、悪性利用）に変化する可能性のあるドメイン名、つまり、悪性ドメイン名か否かの再判断が必要なドメイン名を特定することができる。

［具体例］
　次に、特定装置１０が実行する処理の具体例を説明する。図９は、特定装置１０におけるドメイン名に対する特定の一例を示す図である。

［2020年7月2日の時点における「example.com」に関する特定］
　図９の通番1の2020年7月2日の時点における「example.com」に関する特定の例を説明する。例えば、図５のDNSデータセットを参照すると、「example.com」は、2020年6月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定され、2020年7月1日にドメインパーキングのNSレコード「ns.parking.example」が設定されている。このことから、特定装置１０は、「example.com」について2020年7月1日から、ある1種類の事業者のドメインパーキングにより利用されていると判断する。

　また、図７のドメイン名のブラックリストを参照すると、「example.com」は、2020年6月1日にブラックリストに掲載されている（悪性利用されている）が、その後の悪性利用は確認されていない。また、図６のドメイン名の登録情報を参照すると、「example.com」は、2020年5月31日に登録され、2020年7月2日の時点では失効していない。よって、特定装置１０は、「example.com」について単一のライフサイクル（単一登録期間）のみ考慮すればよいと判断する。

　以上の情報から、特定装置１０は、「example.com」の運用形態の時系列パターンは、悪性利用され、その後にドメインパーキングで利用される時系列パターン（図１に示すパターン３）に該当すると判断する。

　なお、図６のドメイン名の登録情報を参照すると、「example.com」のドメイン名の再登録は発生していない。よって、特定装置１０は、「example.com」について、例えば、図２のようなドメイン名の再登録の前後における運用形態の変化の時系列パターン（複数の登録期間における時系列パターン）には該当しないと判断する。

　また、図５のDNSデータセットを参照すると、「example.com」は複数の事業者のドメインパーキングを利用していない。よって、特定装置１０は、「example.com」について、例えば、図３のような複数の事業者のドメインパーキングを利用する時系列パターンには該当しないと判断する。

［2020年7月3日以後における「example.com」に関する特定］
　さらに、特定装置１０は、2020年7月3日以後における「example.com」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.com」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置１０は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図１のパターン２，４，７と特定する。

　この特定結果により、特定装置１０は、「example.com」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「高い」と判断する。よって、特定装置１０は、「example.com」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要があると判定する。

　なお、ドメイン名が悪性利用（悪性運用）されているか否かの判断には、例えば、特許文献１に記載の方法を用いることが考えられるが、これに限定されない。

［2020年7月2日の時点における「example.net」に関する特定］
　次に、図９の通番2の2020年7月2日時点の「example.net」に対する特定の例を説明する。

　例えば、図５のDNSデータセットを参照すると、「example.net」は、2020年6月1日にドメインパーキングのNSレコード「ns.parking.example」が設定され、2020年7月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定されている。

　また、図７のドメイン名のブラックリストを参照すると、「example.net」は、2020年7月1日にブラックリストに掲載されている（悪性利用されている）。

　図６のドメイン名の登録情報を参照すると、「example.net」は、2020年5月31日に登録され、2020年7月2日の時点では失効していない。よって、特定装置１０は、「example.com」について単一のライフサイクルのみ考慮すればよいと判断する。

　以上の情報から、特定装置１０は、2020年7月2日時点の「example.net」の運用形態の時系列パターンは、ドメインパーキングされ、その後に悪性利用される時系列パターン（図１に示すパターン２）であると判断する。

　なお、特定装置１０は、図６のドメイン名の登録情報を参照すると、「example.net」のドメイン名の再登録が発生していない。よって、特定装置１０は、「example.net」について、図２のようなドメイン名の再登録の前後における運用形態の時系列パターン（複数の登録期間における時系列パターン）には該当しないと判断する。

　図５のDNSデータセットを参照すると、「example.net」は複数の事業者のドメインパーキングを利用していない。よって、特定装置１０は、「example.net」について、例えば、図３のような複数の事業者のドメインパーキングを利用する時系列パターンには該当しないと判断する。

［2020年7月3日以後における「example.net」に関する特定］
　さらに、特定装置１０は、2020年7月3日以後における「example.net」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置１０は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図１のパターン３，５，８，９と特定する。

　この特定結果により、特定装置１０は、「example.net」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「低い」と判断する。よって、特定装置１０は、「example.net」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要はないと判定する。

［2020年7月2日の時点における「example.org」に関する特定］
　次に、図９の通番3の2020年7月2日時点の「example.net」に対する特定の例を説明する。

　例えば、図６のドメイン名の登録情報および図５のDNSデータセットを参照すると、「example.org」は、2020年6月15日に再登録され、2020年7月2日の時点では失効していない。よって、特定装置１０は、「example.org」について、図２のようなドメイン名の再登録の前後における運用形態の時系列パターン（複数の登録期間における時系列パターン）に該当すると判断する。

　例えば、図５のDNSデータセットを参照すると、「example.org」は、再登録前の2020年6月1日はドメインパーキングのNSレコード「ns.parking.example」が設定され、再登録後の2020年7月1日にドメインパーキングではないNSレコード「ns.malicious.example」が設定されている。また、図７のドメイン名のブラックリストを参照すると、「example.org」は再登録後、2020年7月1日からブラックリストに掲載されている（悪性利用されている）。

　以上の情報から、特定装置１０は、2020年7月2日時点の「example.org」の運用形態の時系列パターンは、図１に示すパターン９であると判断する。

　また、上記のとおり「example.org」は、ドメイン名の再登録が発生しており、ドメイン名の再登録前（失効前）においてはドメインパーキングにより利用され、再登録後に悪性利用されている。よって、特定装置１０は、「example.org」の再登録の前後における時系列パターンは、図２のパターンｂと特定する。

　図５のDNSデータセットを参照すると、「example.org」は複数の事業者のメインパーキングを利用していない。よって、特定装置１０は、「example.org」について、例えば、図３のような複数の事業者を利用する時系列パターンには該当しないと判断する。

［2020年7月3日以後における「example.org」に関する特定］
　さらに、特定装置１０は、2020年7月3日以後における「example.org」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.net」は、2020年7月1日に悪性利用の記録がある。よって、特定装置１０は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図１のパターン３，５，８，９と特定する。

　この特定結果により、特定装置１０は、「example.org」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「低い」と判断する。よって、特定装置１０は、「example.org」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要はないと判定する。

［2020年7月2日の時点における「example.jp」に関する特定］
　最後に、図９の通番4の2020年7月2日時点の「example.jp」に対する特定の例を説明する。

　例えば、図５のDNSデータセットを参照すると、「example.jp」は、2020年7月1日にドメインパーキングのNSレコード「ns.parking.example」と「ns.parking2.example」が設定されている。

　図６のドメイン名の登録情報を参照すると、「example.jp」は、2020年6月30日に登録され、2020年7月2日の時点では失効していない。よって、特定装置１０は、「example.jp」ついて単一のライフサイクル（単一登録期間）のみ考慮すればよいと判断する。

　また、図７のドメイン名のブラックリストを参照すると、「example.jp」は悪性利用の履歴がない。

　以上の情報から、特定装置１０は、「example.jp」の運用形態の時系列パターンは、ドメインパーキングのみに利用される時系列パターン（図１に示すパターン１）に該当すると判断する。

　なお、図６のドメイン名の登録情報を参照すると、「example.jp」のドメイン名の再登録は発生していない。よって、特定装置１０は、「example.jp」について、例えば、図２のようなドメイン名の再登録の前後における運用形態の時系列パターン（複数の登録期間における時系列パターン）には該当しないと判断する。

　また、図５のDNSデータセットを参照すると、「example.jp」は2020年7月1日の時点で複数の事業者のドメインパーキングを利用している。このことから、特定装置１０は、「example.jp」について、例えば、図３のパターンＡ，Ｂに該当すると判断する。

［2020年7月3日以後における「example.jp」に関する特定］
　さらに、特定装置１０は、2020年7月3日以後における「example.jp」の運用形態について該当しうる時系列パターンを特定する。前記したとおり、「example.jp」は、2020年7月1日からドメインパーキングに利用されている。よって、特定装置１０は、2020年7月3日からドメイン名が失効するまでの間における運用形態について、該当しうる時系列パターンの候補は、図１のパターン２，４，７と特定する。

　この特定結果により、特定装置１０は、「example.jp」が2020年7月3日以後に悪性利用の運用形態に変化する可能性は、相対的に「高い」と判断する。よって、特定装置１０は、「example.jp」について、他のドメイン名よりも頻繁に悪性ドメイン名か否かを確認する必要があると判定する。

　上記のように、特定装置１０は、図９の通番1-4の複数のドメイン名に対し、悪性利用の運用形態に変化する可能性が相対的に高いドメイン名（例えば、example.comとexample.jp）を特定する。そして、特定装置１０は、例えば、特定したドメイン名について他のドメイン名（例えば、example.netとexample.org）よりも高い頻度で悪性ドメインか否かの確認するように制御する。これにより、特定装置１０は、未知の悪性ドメイン名を、限られた計算資源でより効率的に発見することができるようになる。

　なお、優先的な計算資源割当方法については、情報工学やプログラミング言語で一般的に利用されているタスク制御、リソース割当、ジョブ管理等の公知の方法を利用することができる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU（Central　Processing　Unit）及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記した特定装置１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置を各実施形態のシステムとして機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、本実施形態の特定装置は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Ｗｅｂサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図９は、特定プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、CPU１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、各実施形態のシステムが実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、各実施形態のシステムにおける機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSDにより代替されてもよい。

　また、上述した実施形態の処理で用いられるパターン情報は、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、CPU１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してCPU１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してCPU１０２０によって読み出されてもよい。

１０　特定装置
１１　入力部
１２　記憶部
１３　制御部
１４　出力部
１１１　DNSデータセット入力部
１１２　ドメイン名登録情報入力部
１１３　ドメイン名ブラックリスト入力部
１３１　第１の特定部
１３２　第２の特定部
１３３　第３の特定部
１３４　判定部

Claims

　所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける入力部と、
　前記入力されたドメイン名の時系列情報と、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する特定部と、
　前記特定された前記所定日時以降の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する判定部と、
　前記判定の結果を出力する出力部と、
　を備えることを特徴とする判定装置。
　前記ドメイン名の時系列情報は、さらに、
　当該ドメイン名が悪性利用されたことがある場合、前記悪性利用された時期を示す情報を含み、
　前記パターン情報は、
　ドメイン名の悪性利用を含む前記ドメイン名の運用形態の時系列の変化のパターンを示す情報である
　ことを特徴とする請求項１に記載の判定装置。
　前記ドメイン名の時系列情報は、さらに、
　当該ドメイン名が失効後に再登録された時期を示す情報を含み、
　前記パターン情報は、さらに、
　ドメイン名の再登録の前後の期間における前記ドメイン名の運用形態のパターンを示す情報を含み、
　前記特定部は、
　前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記入力されたドメイン名の再登録の前後の期間における運用形態の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
　ことを特徴とする請求項１に記載の判定装置。
　前記ドメイン名の時系列情報は、さらに、
　当該ドメイン名の運用に用いられた１以上のネームサーバのホスト名を時系列で示した情報を含み、
　前記パターン情報は、さらに、
　複数のネームサーバを同時に、または、切り替えながらドメイン名が運用される場合の運用形態の時系列の変化のパターンを示す情報を含み、
　前記特定部は、さらに、
　前記入力されたドメイン名の時系列情報に基づき、前記入力されたドメイン名が再登録されたものであると判定された場合、前記パターン情報に基づき、前記入力されたドメイン名の再登録の前後の期間における運用形態の変化が、前記パターン情報に示されるパターンに該当するか否かを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する
　ことを特徴とする請求項１に記載の判定装置。
　判定装置により実行される判定方法であって、
　所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
　前記入力されたドメイン名の時系列情報と、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
　前記特定された前記所定日時以降の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
　前記判定の結果を出力する工程と、
　を含むことを特徴とする判定方法。
　所定日時までのドメイン名の運用形態を時系列で示した時系列情報の入力を受け付ける工程と、
　前記入力されたドメイン名の時系列情報と、ドメイン名の運用形態の時系列の変化のパターンを示すパターン情報とに基づき、前記入力されたドメイン名の運用形態の時系列の変化が、前記パターン情報に示されるいずれのパターンに該当するかを特定し、前記特定したパターンに基づき、前記所定日時以後における当該ドメイン名の運用形態の候補を特定する工程と、
　前記特定された前記所定日時以降の当該ドメイン名の運用形態の候補に基づき、前記ドメイン名の運用形態が悪性利用に変化する可能性があるか否かを判定する工程と、
　前記判定の結果を出力する工程と、
　をコンピュータに実行させることを特徴とする判定プログラム。