攻撃者は2026年の最初の5か月間に、約150万件の悪意あるドメインを登録しました。その登録パターンは、まるで工業生産ラインのような様相を呈しています。大半のドメインは攻撃者が意図的に作成し、数週間以内に悪用を開始しており、少数のレジストラ、トップレベルドメイン(TLD)、ホスティング事業者に集中しています。
新たな研究では、2026年1月から5月の間にVirusTotalでフラグが立てられた150万件以上のユニークドメインを分析しました。対象ドメインはいずれも5つ以上の独立したVirusTotal検査エンジンによって検出され、調査期間中に初めてプラットフォーム上に出現したものです。この検出データは、WHOIS登録記録、パッシブDNS解決データ、および著名サイトのTrancoポピュラリティランキングと組み合わせて分析されました。
対象ドメインのほぼ9割は、攻撃者が悪用目的で新たに登録したものでした。残りは、攻撃者が乗っ取った既存の正規ドメインです。この後者のグループの多くは、登録年数の古さから対象に含まれており、長年にわたって運用されてきた正規サイトが攻撃に流用されていることを示しています。
短命を前提とした設計
新たな悪意あるドメインは、毎月安定して大量に出現しています。最も多かったのは2026年1月で、数十万件が確認されており、その後の月も同様の水準で推移しています。
攻撃者が作成したドメインは、登録後すぐにVirusTotalに出現する傾向があります。初回検出時点でのドメインの中央値は、登録からおよそ2か月後でした。一方、登録から1日以内に検出されたドメインも一定数存在し、1週間以内に検出されたものは全体の約3分の1に上ります。この短い猶予期間は、攻撃者がドメインを実際に使い始める前に防御側が検知できる時間が極めて限られていることを意味します。
少数のレジストラとTLDへの集中
攻撃者が作成したドメインの大部分は、ごく少数のレジストラが取り扱っていました。上位4社だけで攻撃ドメイン全体の3分の1以上を占めており、レジストラ情報が判明しているドメインに限れば、上位10社で約6割を処理しています。残りは数千に及ぶ小規模レジストラが分担する形です。
TLDの選択にも同様の集中傾向が見られました。「.com」が圧倒的な首位で、攻撃ドメイン全体の約3分の1を占めています。続いて、「.top」「.cc」「.xyz」などの低コストの汎用TLDや国別コードTLDが上位に並びました。上位10のTLDだけで攻撃ドメインの約3分の2をカバーしており、残りは数百に及ぶ他のTLDに分散しています。
この集中構造は、介入の糸口となります。主要レジストラにおけるアンチアビューズポリシーの強化や、迅速なテイクダウン手続きの整備によって、攻撃者が作成するドメインの大部分を削減できる可能性があります。
共有インフラという問題
攻撃ドメインのホスティング先として最も多く使われているIPアドレスの大半は、Cloudflareのものでした。上位10件のIPアドレスのうち8件がCloudflareのアドレスであり、最も使用頻度の高い2件はそれぞれ23万件以上の攻撃ドメインをホスティングしていました。これらのアドレスはCloudflareのネットワーク上で広く使われている共有リバースプロキシのエンドポイントであり、1つのアドレスが同時に多数のサイトを提供しつつ、背後にある実際のオリジンサーバーを隠蔽します。
ネットワークレベルでは、Cloudflareの自律システム(AS)が最多の攻撃ドメインをホスティングしており、別の大手ネットワークおよびAWSがそれに続いています。攻撃者が信頼性の高いクラウドやコンテンツデリバリープロバイダーを好むのは、こうしたネットワークからのトラフィックをネットワークレベルでブロックすることが難しいためです。正規サイトを攻撃や監視から守るために使われている同じサービスが、悪意あるサイトも保護している構造であり、テイクダウンはプロバイダーの協力なしには実現できません。
DNSトラフィックの少数集中
クエリ量は急峻な分布を示しました。大多数の攻撃ドメインのトラフィックはわずかなものでしたが、上位の少数ドメインは膨大なクエリ量を集めており、最も多いドメインは20億件以上のクエリを受け取っていました。この高トラフィックグループがクエリ全体の大半を占め、ユーザーへの影響も最も大きいと言えます。これらをシンクホール化するだけで、エンドユーザーのリスクを大幅に低減できます。
一括大量登録の実態
組織的な一括大量登録は、データセット全体を通じて確認されました。攻撃ドメインをレジストラと作成日でグループ化し、同じレジストラと同じ日付を持つドメインが5件以上あれば「バッチ」として計上した結果、WHOIS記録が利用可能な攻撃ドメインの4分の3以上がいずれかのバッチに属することが判明しました。
最大のバッチは、1日に1つのレジストラで2,000件以上のドメインが登録されたものでした。バッチ内のドメイン名は短い英数字パターンを持つものが多く、自動生成されたことを示しています。1日に数千件のドメインを同一レジストラのもとで登録するというこの手口は、大規模な攻撃インフラを素早く構築するためにドメイン名を自動生成・一括登録するスクリプトの存在を示しています。
少数の大手ブランドを狙った詐称
攻撃者は認知度の高いブランド名をドメインに組み込んでいます。人気サイトから抽出したブランドトークンと各攻撃ドメイン名を照合したところ、WhatsAppが最も多く模倣されたブランドとなり、約2万件の攻撃ドメインに使用されていました。Google、Coinbase、Bet365も上位に名を連ねています。仮想通貨取引所とギャンブルプラットフォームの存在は、金融アカウントを標的にした認証情報の窃取やフィッシングの意図を示しています。
なお、今回使用した照合手法は単純な部分文字列マッチングであるため、一部の結果は意図的なブランド詐称ではなく、よく使われる文字列の偶然の一致を反映している場合もあります。WhatsAppを筆頭とする固有性の高いブランド名の検出結果こそが、より信頼性の高い知見です。攻撃ドメイン全体のうち認識可能なブランドトークンを含む割合は少数ですが、その内訳は数千にわたる多様なブランドに及んでいます。
防御側が介入できるポイント
前向きな点として、攻撃者にとってこの仕組みを効率的にしている「集中」という構造は、防御側にとっても介入すべき場所の短いリストを提供しています。大部分のドメインを少数のレジストラが発行しているなら、同日一括登録に対するレート制限やアンチアビューズチェックを導入するだけで、多くの悪意ある活動を一度に抑制できます。パターンは見つけやすいものです。同じレジストラ、同じ作成日、しばしば機械生成されたスペルを持つ数千件のドメイン名、という特徴がそれです。
ホスティング側の対策は、また別のアプローチが必要です。CloudflareとAWSはいずれもアビューズ報告プログラムを運営していますが、今回の規模を踏まえると、脅威インテリジェンスチームと各プロバイダーを直接つなぐ自動化パイプラインの整備が急務です。既知の悪意あるホスティングと紐付いたフラグ付きドメインをより迅速に排除する仕組みが必要です。また、最も多くのユーザーにリーチしている数十億クエリを集める少数の高トラフィックドメインが、まずシンクホール化の優先対象となります。さらに、WhatsAppやGoogleなど攻撃者が最も多用しているブランドは、自動監視の明確な候補と言えます。
一連の構造を貫く共通点は、ドメイン悪用が少数のチョークポイントを持つ「量産ライン」として機能しているということです。少数のレジストラがドメインの大半を発行し、少数のTLDがほとんどの名前を収容し、少数のネットワークがトラフィックの大半を運んでいます。これらのポイントに圧力をかけることで、問題の大部分に対処できます。なお、研究チームはさらなる分析を希望する方のために、アノテーション付きデータセットを公開しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/12/malicious-domain-registration-research/
