なぜドメインベースの攻撃は今後も混乱を引き起こし続けるのか

企業が直面しなければならない数多くのサイバー脅威の中で、ドメインベースの攻撃は重要な位置を占めています。これらは、ドメイン名やDNSインフラを標的または悪用する攻撃です。決して新しいものではありませんが、その脅威は急速に拡大・変化しています。

ある調査によると、2024年には174件に1件のDNSリクエストが悪意のあるものでした。前年は1,000件に1件だったことと比べると大幅な増加です。攻撃者は一度でも成功すれば、企業に高額なダウンタイム、大規模なデータ漏洩、あるいは信頼の喪失を引き起こすことができます。

ドメインベースの攻撃とは？

ドメインベースの攻撃は非常に多様ですが、多くの手法は類似点があり、組み合わせて使われることもあります。たとえば、ドメインスプーフィングとウェブサイトスプーフィングはしばしば同時に発生します。ドメインハイジャックとドメインシャドーイングはいずれもDNS設定を悪用しますが、ハイジャックは廃止または未取得のドメインを利用するのに対し、シャドーイングはアクティブなドメインの設定を侵害します。

一般的なドメインベースの攻撃には以下のものがあります：

• ウェブサイトスプーフィング：偽サイトを作成し、訪問者に本物のサイトだと信じ込ませる手法。
• ドメインスプーフィング：URLが本物のサイトのURLを模倣している場合。
• メールドメインフィッシング：本物らしいメールドメインから送信されたメッセージで、人々を危険なリンクのクリックや悪意のある添付ファイルの開封に誘導する手法。
• DNSハイジャック：正規のサイトから悪意のあるサイトへトラフィックをリダイレクトする攻撃。
• ドメインおよびサブドメインハイジャック：正規のドメインや未使用・忘れられたサブドメインの制御を奪う攻撃。
• ドメインシャドーイング：侵害された信頼できるドメイン内に悪意のあるサブドメインを作成する手法。
• 検索エンジンポイズニング：AI生成コンテンツを使い、悪意のあるドメインを検索上位に表示させる手法。

サイバー犯罪者は、攻撃の信憑性を高めるために複数の戦術を組み合わせることがよくあります。たとえば、偽ドメイン名を使ったフィッシングメールには偽サイトへのリンクが含まれており、被害者のログイン情報を収集するために利用されます。

AIによってドメインベースの攻撃はさらに深刻化

ドメインベースの攻撃がセキュリティチームにとってより大きな課題となっている理由はいくつかあります。

EDRソリューションや次世代ファイアウォール、高度なクラウド保護など、サイバーセキュリティが向上する中で、サイバー犯罪者はより脆弱な標的にシフトしています。ドメインやDNSインフラは多くの場合、組織の想定するセキュリティ境界の外にあり、多くの攻撃はフィッシングメールや偽サイトなどの人的ミスを悪用します。

しかし、ドメインベースの攻撃が増加している主な要因はAIです。Darktraceの調査によると、AIを活用したサイバー脅威は調査対象組織の78%に大きな影響を与えており、AIによるフィッシングが最大の脅威となっています。

AIの影響で：

• フィッシング、ドメインハイジャック、スプーフィング攻撃はより巧妙で、個別化され、説得力が増しています。
• シャドーAIが増加し、犯罪者がドメインベースの攻撃で悪用できる情報漏洩のリスクが高まっています。
• サイバー犯罪者は攻撃を非常に頻繁に仕掛けることができ、セキュリティチームが追いつけません。
• 攻撃はより複雑で発見が難しくなり、ソーシャルエンジニアリングや偽ドメインを使ったランサムウェアなど複数の手法が組み合わされています。
• AIチャットボットが騙されて偽URLを提案したことで、気付かずにユーザーが偽サイトに誘導されることもあります。

ドメインベースの攻撃における具体的なトレンドを詳しく見ていきましょう。なぜサイバーセキュリティチームが十分な注意を払うべきか、そしてどのように対処すべきかを解説します。

ウェブサイトスプーフィングが新たなレベルに到達

ウェブサイトスプーフィングは、より巧妙で説得力のあるものになっています。以前はスペルミスや間違い、文法の誤りが目立ちましたが、今では本物そっくりの洗練されたサイトが作られています。

現在、以下のような傾向が見られます：

• AI生成の偽サイト：リアルな動的フィッシングページやAI生成の音声・動画によるディープフェイクなどを含むことが多い。
• 偽サポートサイト：AIチャットボットを設置し、訪問者と会話して個人情報を収集する。
• 偽サイトから本物サイトへのリダイレクト：ユーザーを偽サイトに誘導し、その後本物のサイトにリダイレクトする手法。

「リバースリダイレクトは特に危険です。…[なぜなら] フィッシングサイトから正規サイトにユーザーを戻すことで、被害者が偽サイトに滞在する時間を最小限にし、疑念を持たせないようにするからです」とMemcycoのCOO、Gideon Hazam氏は警告します。「被害者が詐欺に気付くのが遅れるほど、事件を報告する可能性が低くなり、正規企業が効果的に介入する機会も減ります。」

この問題への対処には、正規ドメインと意味的に類似したコンテンツをウェブ上で事前に探し、正規サイトへのリダイレクトやそこからのリダイレクトをブロックする予防的アプローチが必要です。現在では、疑わしいサイトと正規サイトを大規模に比較し、言語のトーンやデザイン要素、構造レイアウト、クローク技術やドメイン登録の不一致などのエラーを特定することが可能です。

メールドメインスプーフィングでフィッシングが加速

人的ミスは依然としてデータ漏洩の主因であり、従来型のメールフィッシングは依然として機密情報を侵害する上で非常に効果的です。Cisco Talosのレポートによると、フィッシング攻撃は2024年には全攻撃の25%から、2025年第1四半期には50%、第2四半期には33%に急増しました。

攻撃がこれほど効果的な理由の一つが、メールドメインスプーフィングの利用です。これは、攻撃者がメールヘッダーを操作し、「from」アドレスが信頼できるドメイン（例：realperson@electriccompany.com）に見えるようにする手法です。Cisco Talosのレポートによると、フィッシングで最もよく偽装されるブランドはApple、Shein、American Express、LinkedIn、Amazonです。

AIによってこの手法はさらに説得力とリアリティを増しています。AI生成のフィッシングメールは音声や動画のディープフェイクコンテンツを含むこともあります。CrowdStrikeの調査では、2024年前半と後半でビッシング攻撃が442%増加したと報告されています。

メールはより巧妙になり、テキスト量も増えて、より多くの被害者を欺いています。時には、ClickFixのような多段階プロセスが発動し、被害者に「人間であることの認証」と信じ込ませ、実際には悪意のあるコードをシステムに注入させることもあります。

フィッシングメール対策には、DKIMやDMARCなどのメール認証プロトコルがあります。しかし、これらは必ずしも効果的とは限りません。推定でフィッシングメールの70%がDMARCチェックを通過し、55%が他のメールセキュリティ対策もすり抜けています。これは、従業員がフィッシングを見抜くためのトレーニングがいかに重要かを示しています。最新の知識を持った「人間のファイアウォール」だけが、偽装メールやソーシャルエンジニアリングのトリックを見抜くことができます。

ドメインおよびDNSハイジャックは進化している

侵害されたDNSレコードを使ったドメイントラフィックのリダイレクトや、正規ドメインのハイジャックは、従来からある手法ですが、新たな力を得ています。

今日の高度な手法には以下が含まれます：

• キャッシュポイズニング：キャッシュに悪意のあるデータを挿入し、ユーザーに偽または有害な情報を受け取らせる手法。
• トラフィック分配システム（TDS）攻撃：被害者を複雑なドメイン名の迷路（TDS）に誘導し、調査者を欺く攻撃。TDSは長年セキュリティ業界に見過ごされて進化してきました。2025年前半、Infoblox Threat Intelは全顧客環境の82%がTDSの一部であるドメインを問い合わせていたと報告しています。
• DNSトンネリング：DNSを悪用して検知を回避し、ユーザーシステムとの間でデータパケットを送受信する手法。
• サブドメインハイジャック：悪意のある攻撃者が正規の未使用サブドメインを乗っ取り、DNSレコードを悪用してブラウザを悪意のあるコンテンツに誘導する手法。

DNSトラフィックは信頼されているため、攻撃者が境界防御を回避するのが比較的容易であり、マルウェア配布の手段として好まれています。ほとんどのウェブサイト、アプリ、サービス、プロトコルはDNSに大きく依存しているため、サイバー犯罪者にとって攻撃の入り口が多数存在します。さらに、セキュリティベンダーは新たな脅威の詳細が判明するまで対策を待つ傾向があり、これも問題です。

ドメインおよびDNSハイジャックは、多くの脅威アクターによって大規模かつ体系的に利用されており、セキュリティチームが検知するのは困難です。Infobloxのイニシアチブによると、監視対象の80万ドメインのうち7万件がハイジャックされ、さらに100万件がこの種の攻撃に対して脆弱であると報告されています。

現実には、未保護のドメインはサイバー犯罪者に必ず狙われます。企業はファイアウォールやIDS/IPS、エンドポイントセキュリティ、セキュリティ評価などを組み合わせた多層的アプローチを採用する必要があります。

ドメインスプーフィングは深刻に受け止められていない

ドメインスプーフィングはウェブサイトスプーフィングの一種です。正規ドメインを模倣した偽ドメイン（例：micros0ft.com）など複数のサブ戦術が含まれ、ユーザーは不用意にリンクをクリックしてしまいます。ホモグラフ攻撃では、他のアルファベットの類似文字（例：аррle.com、キリル文字の「a」など）を使い、同様の結果をもたらします。タイポスクワッティングでは、ユーザーがドメイン名を誤って入力（例：gooogle.com）し、悪意のある偽サイトを閲覧してしまうことがあります。

AIは意図せずこの脅威を悪化させています。Netcraftの調査によると、AIチャットボットは有名ブランドの正しいURLとほぼ同じ頻度で誤ったURLを返しています。自然な言い回しで131件のウェブアドレスに関する質問をしたところ、わずか64件（66%）しかブランドの認証済みサイトを返しませんでした。

これは特に懸念される点です。なぜなら、人々はAIが生成した回答を信頼しやすく、その後に続く偽サイトにも疑いなくアクセスしてしまうからです。AIエンジンが提案するURLは、検索スニペットや認証済みドメインバッジのような文脈なしに表示されることが多く、ユーザーが偽サイトを事前に見抜く手助けがありません。

しかし、ドメインスプーフィング対策の方法は存在しますが、十分に活用されていません。Registry Lockは、ドメイン名を偶発的または不正な変更から守るコスト効率の高い方法ですが、CSCの調査では世界的な導入率はわずか24%にとどまっています。

また、企業は類似ドメインの登録を怠ったり、登録を失効させたりすることがよくあります。CSCの報告によると、グローバル2000ブランドの類似ドメインの80%は第三者が所有しており、そのうち42%はフィッシングメールの送信やメールの傍受に使われるMXレコードを持っています。

自動生成ドメインが新たな頭痛の種に

現在の攻撃者は、ドメイン生成アルゴリズム（DGA）を活用して、フィッシング、スパム、マルバタイジング、データ流出、ファストフラックス攻撃など、さまざまな攻撃用に自動的にドメインを作成しています。CISAは、ファストフラックス攻撃（IPアドレスのローテーションやDNSネームサーバの急速な変更で検知を逃れる手法）への防御に多くのネットワークでギャップがあると報告しています。

DGAはAIによって強化されており、セキュリティチームが追いつけないほどのスピードで動きます。攻撃者は1日に何千もの新ドメインを登録できますが、調査員がそれらを分析・対策するには数か月かかります。

「新しいドメインは、ブロックリストに載るまで時間がかかるため、悪意のある者が悪用する余地が生まれます」とDNSFilterのCTO、TK Keanini氏は説明します。「攻撃はウェブサイト公開から数分で発生することもあり、フィッシングサイトの約3分の1は初回検知から数時間で消滅します。これほど短期間で新たな悪意のある活動を発見・評価・ブロックするのはほぼ不可能です。」

Infobloxの調査では、過去1年間に観測された新規ドメイン1億100万件のうち25%以上が悪意または疑わしいものであり、悪用目的で使われたドメインのほぼ55%は機械アルゴリズムによって生成されていました。DGAは今や、フィッシングやマルウェアを上回る最も頻繁に遭遇する脅威カテゴリとなっています。

CISAは、企業がDNSおよびIPのブロックリスト、ファイアウォールルール、または非ルーティングDNS応答を実装し、ファストフラックスドメインやIPアドレスへのアクセスを遮断することを推奨しています。新規ドメインのブロックも、SOCチームが受け取るアラート数を減らし、他の脅威への対応時間を確保するのに役立ちます。

ドメインベースの攻撃にはさらなる注意が必要

企業はこれらの攻撃に対応する準備ができていません。その理由は規模や複雑さだけではありません。姿勢も大きな要因です。ドメインやDNSの保護はセキュリティの本質的な要素と見なされておらず、十分に重視されていません。デジタル資産の管理責任者が必ずしも上級セキュリティ担当者とは限らず、セキュリティについて知らなかったり優先順位が低かったりします。

CSCの最近の調査では、グローバル2000企業の68%が推奨されるセキュリティ対策の半分未満しか実施しておらず、5%は全く対策を講じていません。これには、世界的な導入率がわずか24%のRegistry Lock、8.5%のDNSセキュリティ拡張（DNSSEC）、2020年の19%から2025年には17%に減少したDNS冗長化など、簡単なステップも含まれます。唯一の例外は、2025年に70%の導入が見込まれるDMARCメール認証プロトコルです。

AIの普及拡大により、ドメインベースの攻撃は驚異的なスピードと規模、巧妙さで増加しています。その脅威は現実的かつ深刻でありながら、効果的な対策は十分に活用されていません。企業は利用可能なすべての防御策を今すぐ有効化すべき時です。なぜなら、リスクは今後ますます高まるからです。

この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか？