悪意あるドメイン登録の規模
新規登録ドメインの5件に1件が、積極的にサイバー犯罪者の手に渡っている可能性があります。この衝撃的な結論は、Interisle Consultingによる2025年ドメイン市場の包括的な分析から導き出されたものです。
同レポートによると、悪意ある攻撃者は新規汎用トップレベルドメイン(gTLD)全体の10〜20%を登録していました。保守的な推計値であっても、その規模は驚愕するものがあります。2025年に登録された約8,500万件のドメインのうち、セキュリティベンダーが850万件以上をブラックリストに登録しました。フィッシング、金融詐欺、マルウェア拡散を封じ込めるため、テクノロジー企業はこれらの悪意あるノードをブロックしています。
潜在的脅威と市場の不安定性
さらに著者らは、この脅威の実際の規模はさらに大きい可能性が高いと強調しています。悪意のあるドメインの多くは、長期間にわたって全く検出されないままになっています。また、最初に取得されてから数ヶ月後に初めて悪用が始まるアドレスも存在します。
こうした潜在的要素を加味することで、アナリストたちは数値的な予測を修正しました。脅威アクターが年間を通じて最大1,680万件のドメインを取得したと推定しており、この数字は世界全体の登録市場の約20%に相当します。
レジストラ間の不均等な分布
興味深いことに、この調査はシステム的な脆弱性が非常に不均等に現れていることを明らかにしています。特定の5社のレジストラだけで、不正なドメイン取得全体の約半数を仲介していました。
驚くべきことに、ある小規模なレジストラでは、新規登録の約88%がグローバルブラックリストに登録される事態となっています。また、特定のドメインゾーンでは、アドレスの半数以上が詐欺キャンペーンやフィッシングに悪用されています。
悪用事例:FUNNULLと特殊TLD
このレポートは、FUNNULLとして知られる著名な脅威グループに多くのページを割いています。米国当局は、この組織が大規模な投資詐欺、積極的なフィッシング、マルウェア配布に関与していると見ています。
このグループは悪意ある基盤を維持するために100万件を超えるドメインを登録しました。2025年5月に米国が厳格な経済制裁を科した後も、その活動は継続しています。それどころか、世界各地の様々なレジストラを通じて、新たなFUNNULLドメインが次々と出現し続けています。
.LOANトップレベルドメインへの侵食
さらに著者らは、.LOANドメインゾーンが急速に悪用されていることを指摘しています。短期間のうちに、この拡張子の総登録数は約20倍にまで膨れ上がりました。
その後の分析により、これらのアドレスの82%以上が実際に悪用に関与していることが判明しました。特に多くのドメイン名は、自動化された詐欺のために設計された数字の自動生成シーケンスで構成されていました。
使い捨てインフラの特性
同時に、研究者たちはこれらの不正利用されたゾーンに共通する運用上の特徴を突き止めました。初回の登録期間が終了すると、脅威アクターは組織的にそのアドレスを放棄します。実際、更新率はわずか数%にまで急落しています。この急激な低下は、現代の犯罪的ワークフローにおけるドメインの「使い捨て」的な性質を明確に裏付けています。
制度的責任と市場管理
最終的にInterisleは、一部の市場参加者がこれらの大量登録から積極的に金銭的利益を得ていると主張しています。こうした収益化は、利用者の明白な悪意ある目的にもかかわらず行われています。
そのため著者らは、既存の規制メカニズムは著しく機能不全に陥っていると結論づけています。厳格なセーフガードなしにトップレベルドメインのエコシステムが拡大し続ければ、不正なアセットは指数関数的に増殖していくでしょう。その結果、世界中の企業や一般消費者は、ますます深刻な金銭的損害を被ることになります。
翻訳元: https://meterpreter.org/malicious-domain-registrations/
