9年間クリーンな証明書透明性履歴を持つドメインは、メールフィルターから信頼されます。それこそが問題の本質です。
私はここ2年間、インシデントレスポンスと脅威インテリジェンスに携わってきました。これから説明するパターンは、本来ならメールゲートウェイで検出されるべきケースに繰り返し登場するものです。フィッシングキットのファミリーは変わります。ルアーのテンプレートも変わります。変わらないのは、フィッシング・アズ・ア・サービスの攻撃者が老舗の正規ドメインを購入し、企業や政府機関の認証情報を盗むために再利用しているという事実です。
私が最近対応したインシデントでは、ミズーリ州カンザスシティにある2つのホスティングプロバイダーに分散した117台のオリジンサーバー上でSneaky2FAが展開されていました。この攻撃者は同じインフラを2年以上にわたって使い続け、英国・米国の政府機関、エネルギー企業、米国の医療系中小企業を標的にルアーを仕掛けています。これから解説する老舗ドメイン取得の手口は、本来フィルタリングされるべきにもかかわらず、この攻撃者が企業環境に侵入し続けている手段の一つです。証明書透明性ログにはその全貌が記録されており、評判分類器がこれを検知できなかった理由も明らかになります。
年齢加重評判スコアが盲点となった経緯
Microsoft Defender for Office 365、Proofpoint、Mimecast、Cisco Talosといった主要ベンダーのエンタープライズ向けメールフィルターの多くは、ドメインの年齢を分類判断において重要な要素としています。新規登録された.comドメインは即座に評判上のペナルティを受けます。一方、安定したホスティング履歴、継続的な証明書発行、クリーンなDNS履歴を持つドメインは低リスクと判断されます。この考え方は10年前には理にかなっていました。当時はフィッシングインフラに新規登録ドメインが多用され、老舗ドメインはほぼ確実に既存の中小企業のものだったからです。
私が関わる複数の企業環境では、最上位のメールセキュリティ製品を導入しているにもかかわらず、フィッシングルアーがユーザーの受信箱に届いています。それらのルアーを親ドメインまで遡って調べると、ますます多くのケースで同じパターンが見られます。2024年から2025年のある時点まで長期にわたる安定した証明書履歴があり、数カ月間の空白期間を経て、元のブランドとは無関係のサブドメインに対して再び証明書の発行が始まります。これらのドメインの評判スコアは高い。その裏側にある実態は犯罪インフラです。フィルターにはその違いが分かりません。
老舗ドメイン取得の実態
攻撃者が老舗ドメインを取得する方法は大きく2つあります。期限切れになった登録をドロップキャッチする方法と、所有者のレジストラアカウントへの認証情報窃取によってアクティブなドメインを乗っ取る方法です。ドロップキャッチはコストが低く、リスクも小さいです。DropCatch、SnapNames、GoDaddy Auctionsといったサービスは、まさにドメインが失効した瞬間に取得することを目的としており、10年以上のクリーンな履歴を持つドメインを50ドルから500ドルで入手できます。
ここで詳しく取り上げるのは、Sneaky2FAのケースで私が記録したドメイン「digitalscrapbookingfreebies.com」です。証明書透明性の記録には、乗っ取りの全容が刻まれています。2016年から2025年7月まで、証明書の履歴は典型的な中小企業のcPanelホスト型ブログのものです。cPanel Inc.が60〜90日ごとにcpanel.、mail.、webdisk.、webmail.の標準サブドメインにECC証明書を発行し、Let’s Encrypt R3がapexとwww.に90日ごとに証明書を発行しています。コモンネームは9年にわたって安定していました。誰かが小さなオーディエンス向けにスクラップブッキング素材を無料提供するホビーブログを運営しており、証明書のパターンはそれを正確に反映しています。
2025年4月、GoDaddyの証明書が記録に現れます。8年間途切れることなく続いたcPanel+Let’s Encryptの後に、新しい認証局が登場することは、レジストラまたはホスティングレベルで何かが変わったことを示す最初の明確なシグナルです。2025年7月には、最後の正規パターンの証明書が発行されます。その後6カ月間の沈黙が続き、新規証明書も更新もありません。2025年12月、元のブログには存在しなかったサブドメイン(beds、footboard、haushafin、locklearなど)に対してLet’s Encrypt R13の新しい証明書が表れます。2026年1月には、さらに別のサブドメインが現れました。「nativems-mfl09093004.digitalscrapbookingfreebies.com」です。このサブドメインは、私が米国の州立保健機関に対するフィッシングに実際に使用されているのを確認したものです。
スクラップブッキングブログの元の所有者も、おそらく被害者です。登録を更新し忘れ、攻撃者がドロップキャッチし、プライバシーWHOISで新しい所有者を隠した状態でドメインが犯罪目的に使われています。9年間かけて積み上げた評判という資産が、今では認証情報窃取の道具として機能しているのです。
このケースが一般化できる理由は、同じ攻撃者が新規登録で取得した第2のルアードメインも並行して使っているからです。2つの戦略は、異なるターゲティングプロファイルに対応しています。サブドメイン自体が信頼性を担える場合、たとえば企業の認証エンドポイントを模したSSO風のサブドメインで親ドメインが大きな役割を果たさない場合には、新規登録ドメインを使います。一方、ドメインの評判そのものが仕事をしなければならない場合、つまりルアーが年齢でスコアリングするエンタープライズメールフィルターを通過する必要がある場合には、老舗ドメイン取得を選択します。この選択は文脈に基づいたものです。
評判分類器がこれを検知できない理由
評判スコアリングは、ドメインの歴史がドメインの所有権を反映しているという前提に立っています。ドロップキャッチや乗っ取りによって所有権が移転した場合、この前提は崩れます。スコアはリセットされません。新しい攻撃者は、その信頼を築くための労力を何も負担せずに、信頼だけを引き継ぎます。さらに多くの評判システムでは、最近の所有権変更のパターンよりもクリーンな履歴の長さをより重視するため、問題はさらに悪化します。9年間のドメインが静かに所有者変更されても、依然として9年のドメインとしてスコアリングされ続けます。
乗っ取りを実際に検知できるシグナル(認証局の発行元の変更、6カ月の証明書空白期間、元のブランドとまったく無関係な大量のサブドメインの突然の出現)は、ほとんどの年齢加重分類器の特徴には含まれていません。
より優れた検知アプローチは、ホスティングパターンの安定性を重視するものでなければなりません。ホスティングインフラが突然変わったドメインは、パターンが継続しているドメインよりも不審です。注目すべきイベントは具体的です。長年安定した発行の後に新しい認証局が現れること、証明書の更新が途絶えた後に新規発行が始まること、正当な所有権上の理由がないCDNの変更などです。ほとんどの評判システムはこれらを追跡していません。スコアが安定性指標ではなく単一の数値だからです。
第2の軸は、サブドメインのワードリスト異常です。スクラップブッキングに関する長年安定したドメインが突然「nativems-mfl09093004」というサブドメインの証明書を発行した場合、元のブランドと新しい命名の間の乖離は、他のすべてのシグナルが失敗しても、行動的に検知可能です。
3つ目の要素は、証明書透明性モニタリングです。CTログは公開されており、クエリ可能で、数時間以内に更新されます。私はdigitalscrapbookingfreebies.comの乗っ取りタイムラインを公開CTデータのみから完全に再構築しました。商用の脅威フィードは一切必要ありませんでした。ブロックリスト候補のCTログフィードを購読しているセキュリティチームは、証明書発行から数時間以内に攻撃者が展開したサブドメインを把握できます。これはほとんどの場合、商用脅威フィードに情報が現れるよりもはるかに早いです。
もし私が明日からエンタープライズメールセキュリティを担当するなら、まず変えたいのはドメインの年齢を主要なシグナルとして扱うことをやめることです。老舗ドメイン取得は今や文書化された攻撃手法です。Sekoiaもこれを報告しています。Centripetalも同様です。今回のSneaky2FAケースに関する私自身の調査も、またひとつの事例を加えることになります。年齢を重視する評判システムには既知の回避手段があります。つまり、年齢は複数のシグナルのひとつであるべきで、支配的なシグナルであってはなりません。
実際に機能する検知ロジックは、先に述べたもの——ホスティングパターンの安定性、サブドメインのワードリスト異常、CTログモニタリング——です。9年間のホビーブログが突然Microsoftのテーマを持った認証ページをホストし始めた場合、ドメインの年齢がアナリストを欺いても、行動的には検知可能です。複数のCTIベンダーがこれを機能として提供し始めています。自社のベンダーにどこまで対応しているか、マーケティング的な回答ではなく実質的な回答を求めてください。CTログモニタリングはコストが低く、証明書発行から数時間以内に攻撃者のインフラを把握できます。これは小規模なセキュリティチームにとってレバレッジの高い施策のひとつです。
攻撃者はすでに盲点を把握しています。老舗ドメインが機能し続ける限り、購入し続けるでしょう。このギャップを埋めるために新しい製品ラインは必要ありません。既に収集しているシグナルを適切な重みで扱うことが求められているだけです。
Sneaky2FAケースの調査全体(手法、IOC、私が作成した検知ルールを含む)は、私のGitHubで公開しています。
この記事はFoundry Expert Contributor Networkの一環として公開されています。
参加をご希望の方はこちら。
