Cloudflare、Aisuruボットネットをトップドメインリストから削除

過去1週間、巨大なAisuruボットネットに関連するドメインが、Cloudflareの公開する最も頻繁にリクエストされたウェブサイトのランキングで、Amazon、Apple、Google、Microsoftを繰り返し上回っていました。Cloudflareはこれに対応し、Aisuruのドメイン名をトップウェブサイトリストから削除しました。Cloudflareの最高経営責任者によると、Aisuruの運営者はボットネットを使って悪意のあるドメインのランキングを押し上げると同時に、同社のドメインネームシステム（DNS）サービスを攻撃しているとのことです。

Aisuruは、数十万台のハッキングされたIoT（モノのインターネット）デバイス、例えばセキュリティの甘いインターネットルーターや防犯カメラなどで構成される急成長中のボットネットです。このボットネットは2024年の登場以来、規模と攻撃力を大幅に増強しており、秒間30テラビットに迫る過去最大級の分散型サービス拒否（DDoS）攻撃を実行する能力を示しています。

つい最近まで、Aisuruの悪意あるコードはすべての感染システムにGoogleのDNSサーバー、具体的には8.8.8.8を使用するよう指示していました。しかし10月初旬、AisuruはCloudflareのメインDNSサーバーである1.1.1.1を利用するよう切り替え、過去1週間で感染システムを制御するために使われるAisuruのドメインがCloudflareのトップドメインランキングに登場し始めました。

Aisuruのドメインがトップ10のうち2つのポジションを占めているスクリーンショットがSNS上で拡散され、多くの人が、すでに手に負えないボットネットが完全に暴走していることのさらなる兆候ではないかと懸念しました。数日間ランキング1位に居座ったAisuruボットネットのドメインの1つは、マサチューセッツ州の誰かの住所に「.com」が付いたものでした。他のAisuruドメインは大手クラウドプロバイダーのものを模倣していました。

Cloudflareは、これらのセキュリティ、ブランド混同、プライバシーの懸念に対処するため、悪意あるドメインを部分的に伏せ、ランキングの冒頭に警告を追加しました：

「トップ100ドメインおよびトレンドドメインリストには、自然なアクティビティのあるドメインだけでなく、新たに悪意のある挙動を示すドメインも含まれています。」

CloudflareのCEOであるMatthew Prince氏はKrebsOnSecurityに対し、同社のドメインランキングシステムはかなり単純で、1.1.1.1へのDNSクエリの量だけを測定していると語りました。

「攻撃者は大量のリクエストを生成しているだけで、ランキングに影響を与えるためか、あるいは我々のDNSサービスを攻撃するためかもしれません」とPrince氏は述べ、Cloudflareは他の大規模なパブリックDNSサービスでも同様の攻撃の増加が報告されていると付け加えました。「ランキングをより賢くするために修正中です。その間、マルウェアと分類したサイトは伏せています。」

DNSセキュリティ企業Infobloxの脅威インテリジェンス担当副社長Renee Burton氏は、多くの人が誤って、Cloudflareのドメインランキングが歪んでいるのは、GoogleやApple、Microsoftのようなサイトをクエリする通常のデバイスよりも、ボット感染デバイスの方が多いことを意味すると考えてしまったと述べています。

「Cloudflareのドキュメントは明確です。ドメインのランキングを行う際、どのように正規化するか選択しなければならないことを彼らは理解しています」とBurton氏はLinkedInで書いています。「コントロールできない要素が多くあります。なぜ難しいのか？理由はいろいろ。TTL値、キャッシュ、プリフェッチ、アーキテクチャ、ロードバランシング。ドメイン所有者とその間にあるすべてが共同で管理しているものです。」

Alex Greenland氏は、フィッシング対策とセキュリティ企業EpiのCEOです。Greenland氏は、AisuruボットネットのドメインがCloudflareのランキングに現れる技術的な理由（これらのランキングは実際のウェブ訪問ではなくDNSクエリの量に基づいている）を理解していると述べています。しかし、それでも本来そこに載るべきではないとも述べています。

「これはCloudflare側の失敗であり、ランキングの信頼性と整合性が損なわれていることを示しています」と彼は述べました。

Greenland氏によれば、CloudflareはDomain Rankingsを人間のユーザーによって最も利用されているドメインをリストアップすることを想定しており、1.1.1.1 DNSリゾルバを通過するクエリ頻度やトラフィック量の単純な計算結果を示すものではなかったはずだといいます。

「彼らは人気アルゴリズムが実際の人間の利用を反映し、自動化トラフィックを除外するよう設計されていることを明言しています（この点は得意だと述べていました）」とGreenland氏はLinkedInで書いています。「つまり、内部で何か問題が起きているのは明らかです。信頼と実際の人間利用を表すランキングと、生のDNSボリュームに基づくランキングの2つを持つべきです。」

なぜ悪意あるドメインを完全にリストから分離するのが良い考えなのでしょうか？Greenland氏は、Cloudflare Domain Rankingsは、ブラウザやDNSリゾルバ、安全なブラウジングAPI、TRANCOのようなものによる信頼性や安全性の判断に広く使われていると指摘します。

「TRANCOはトップ100万ドメインの尊敬されるオープンソースリストであり、Cloudflare Radarはその5つのデータプロバイダーの1つです」と彼は続けました。「そのため、Cloudflareのトップ10/100/1000/100万に悪意あるドメインが含まれると深刻な波及効果が生じる可能性があります。多くの人やシステムにとって、トップ10や100は素朴に安全で信頼できるものとみなされていますが、アルゴリズムで定義されたトップNリストは常にどこか粗いものです。」

この1週間、Cloudflareは悪意あるAisuruドメインの一部をトップドメインリストから伏せ、ドメインのサフィックス（末尾）だけを表示するようにしました。過去24時間のうちに、Cloudflareはウェブ版リストから悪意あるAisuruドメインを完全に非表示にし始めたようです。しかし、Cloudflare Radarから現在のトップ200ドメインのスプレッドシートをダウンロードすると、Aisuruドメインが依然として最上位に残っています。

Cloudflareのウェブサイトによれば、AisuruのトップドメインへのDNSクエリの大半、ほぼ52％がアメリカ合衆国から発信されていました。これは10月初旬の私の報道とも一致しており、AisuruがAT&T、Comcast、Verizonなど米国のインターネットプロバイダーにホストされたIoTデバイスから大半の攻撃力を引き出していることが判明しています。

Aisuruを追跡している専門家によると、このボットネットは100以上のコントロールサーバーに依存しており、少なくとも現時点ではそのほとんどが.suトップレベルドメイン（TLD）に登録されています。ドットsuは旧ソビエト連邦に割り当てられたTLDであり（.suのWikipediaページによれば、ベルリンの壁崩壊のわずか15か月前に作成されたTLDです）。

Cloudflareの10月27日のブログ記事によると、.suはすべてのTLDの中で最も高い「DNSマグニチュード」を記録しており、これはCloudflareの1.1.1.1リゾルバにクエリを送信するユニークなネットワーク数に基づいてTLDの人気度を推定する指標です。レポートでは、.suのトップホスト名は人気のオンラインワールドビルディングゲームに関連しており、そのTLDへのクエリの半数以上が米国、ブラジル、ドイツから発信されていると結論付けています（なお、MinecraftのサーバーがAisuruの最も頻繁な標的の一部となっていました）。

ネットワーク上でAisuruボットの活動を検出する簡単かつ原始的な方法は、.suで終わるドメインに接続しようとするシステムにアラートを設定することかもしれません。このTLDはサイバー犯罪やサイバー犯罪フォーラム、サービスで頻繁に悪用されており、完全にアクセスを遮断しても正当な苦情が出る可能性は低いでしょう。