2022年4月11日
ジェフ・エベリング - CISSP、CCSPアドバンスド・テクノロジー・スペシャリスト、Skyhigh Security
ドメインエイジの使用は、悪意のあるインターネットへのアクセスからユーザーやシステムを保護する方法として、様々なファイアウォールやウェブセキュリティベンダーによって推進されている機能です。このコンセプトは、ドメインエイジを一般的なトラフィックフィルタリングパラメーターとして使用することです。つまり、新しく登録されたドメインに関連するホストは、完全にブロックされるか、隔離されるか、または高い疑いをもって扱われるべきであるという考え方です。このブログでは、ドメインエイジとは何か、ドメインがどのように作成・登録されるか、ドメインエイジの価値、他のWebセキュリティツールの補完としてドメインエイジを最も効果的に使用する方法について説明します。
ドメインエイジ機能定義
インターネットのサイトやドメインは常に変化し、進化している。ベリサインによると、2021年第3四半期までに、1日平均40,000以上の新しい.netと.comドメインが登録されました。https://www.verisign.com/en_US/domain-names/dnib/index.xhtmlターゲットホストのドメインがわかっている場合、そのドメインはさまざまなソースから検索可能な登録日を持っています。ドメイン年齢は、最初のドメイン登録から現在の日付までの時間を単純に計算したものです。
ドメインエイジ機能は、ポリシーコントロールに使用するために設計されており、管理者は、特定のインターネット接続先へのアクセスを許可するために必要な最小ドメイン年齢を設定することができます。ドメインは非常に簡単かつ安価に確立できるため、新しいドメインは、完全にブロックしないまでも、細心の注意を払って扱われるべきであるという考え方である。残念ながら、ほとんどのプロトコルや実装では、ドメイン年齢ポリシーの選択は、許可またはブロックの二者択一である。最終的な目的地がホスト、サブドメイン、宛先アドレスであり、ドメイン年齢を変更することなく迅速に有効化、変更、無効化できる場合、これはあまり有用ではない。その結果、ドメイン名やドメイン年齢のみに基づく二元的なセキュリティ判断は、当然ながらセキュリティ、ユーザー体験、生産性に有害な偽陽性と偽陰性の両方をもたらすことになる。
ドメイン登録
IANA (Internet Assigned Numbers Authority) は、ICANN (Internet Corporation for Assigned Names and Numbers) の部署で、プロトコルパラメータ、ドメイン名、IPアドレス、および自治体番号のレジストリを管理する責任を負っています。IANAは、DNS(ドメインネームシステム)のルートゾーンとTLD(.com、.org、.eduなどのトップレベルドメイン)を管理し、レジストラはインターネットレジストリおよびIANAと協力して、トップレベルドメイン内の個々のサブドメインを登録する責任を持ちます。
登録プロセスと定義の詳細は、IANAのサイト(iana.org)に掲載されている。その他の詳細については、こちらをご覧ください: https://whois.icann.org/en/domain-name-registration-processこの場所には以下の記述があります:
"WHOISに自分の情報が掲載されることを望まない個人または組織が、代理でドメイン名を登録する代理サービスプロバイダと契約する場合がある。この場合、サービスプロバイダはドメイン名登録者であり、エンドカスタマーではありません。"
つまり、サービスプロバイダーやエンドユーザーは、ドメインを一度登録すれば、登録日の変更やその他の登録情報の変更なしに、そのドメインを自由に再利用、再譲渡、売却することができるのです。レジストラはアドレスをオークションにかけることができ、また実際に行っているため、ドメインの「不法占拠者や荒らし」のための広大な市場が形成されています。攻撃者は、廃業した企業の確立されたドメインを安く購入したり、全く新しい合法的な響きを持つドメインを登録し、数週間、数ヶ月、数年間使用しないままにしておくことができます。例えば、この記事を書いている時点で、airnigeria.com は godaddy.com でわずか 65 米ドルで売りに出されています。ドメインairnigeria.comは、もともと2003年に登録されたものです。IANAとレジストラは、ドメインの使用に関していかなる責任も管理も負いません。
ドメインエイジの判定
ドメインエイジは、TLDのレジストリ運用者が管理するインターネットレジストリ内のドメインレコードから決定されます。最終的にレジストラは、ドメイン登録の確立と関連データの更新に責任を負います。レジストリの記録にはオリジナルの作成日がありますが、その日付は特定のドメインの登録が失効し、ドメイン名が再登録されない限り変更されることはありません。このため、ドメインエイジは、個々の目的地がいつアクティブになったかを示す極めて不正確な指標となります。
また、フィルタリングの決定時に宛先IPアドレスだけが分かっている場合はどうでしょうか。これは、特定の宛先に送信された最初のパケット(TCP SYNまたは他のネットワークやトランスポートレベルのプロトコルの最初のUDPパケット)をフィルタリングするケースになり得ます。宛先のドメインを取得する1つの方法は、DNSの逆引きでしょうが、ホストのドメインは、解決のために最初に提出されたドメインと一致しないかもしれないので、そこでドメイン年齢がどんな価値を持つか?
たとえば、www.skyhighsecurity.com、現在34.111.16.149に解決することができ、これは149.16.111.34.bc.googleusercontent.comに逆決定されます。skyhighsecurity.comドメインは2018-12-14に登録されましたが、googleusercontent.comは2010-09-14に登録されました。どちらも古くからあるドメインだ。この宛先は確立されたskyhighsecurity.comドメインにあり、確立されたgooglecontent.comドメインでホストされていますが、www.skyhighsecurity.com、つまり34.111.16.149の宛先がいつアクティブになったか、またはそのIPアドレスと通信するリスクを示すものではありません。プロバイダーのドメインを使用してパブリッククラウド(IaaSとSaaS)でホストされている宛先を考慮すると、ドメイン年齢はさらに役に立たなくなる。
逆引きから間違ったドメイン、したがって間違ったドメイン年齢を取得することは、クライアントのDNSクエリを追跡し、それらのドメインを要求された宛先IPにマッピングすることを試みることによって、いくらか軽減されるかもしれません。しかし、これを行うには、クライアントからのすべてのDNSリクエストを完全に把握する必要があり、宛先IPアドレスが標準DNSまたはドメインエイジフィルタリングを提供するシステムによって決定されたことを前提とする必要があります。
ドメインエイジを汎用的なフィルター基準として使用する場合の課題
送信のための正しいドメインを確立し、ドメイン年齢を正確に取得できたとしても、考慮すべき問題がある。
レジストラは、確立されたドメインを自由に維持、変更、再割り当てすることができ、リセラーも同じことができます。悪意のある行為者は、中立または肯定的な評判を持つ既存の確立されたドメインを簡単に取得できるため、このことは、単独のフィルタリングパラメータとしてのドメインエイジの有用性を大きく低下させます。また、悪意のある行為者は、コマンド&コントロールや攻撃用のドメインとして使用されるずっと前に、新しいドメインを登録することもできます。
合法的で完全に安全なサイトは常に登録され、多くの場合、使用開始後数日から数時間のうちに確立されています。ドメインエイジをフィルター基準として使用する場合、高い偽陽性率と高い偽陰性率の間のトレードオフが常に存在することになります。
また、ドメイン年齢は、個々のホスト名レコードがドメイン内に作成された時期に対して、ほとんど価値を提供しないことに注意する必要があります。確立されたドメインは、そのドメイン内にほぼ無限の数のサブドメインと個々のホストを持つことができ、ホスト名の年齢や、名前がアクティブなIPに関連付けられたときでさえ、正確に決定する方法はありません。判断できるのは、宛先のホスト名が、より早い時期に登録されたドメインの一部であることだけです。
要するに、ドメインエイジは、それ自体で有用なフィルタリングの決定を下すには、ほとんど粒度も実質もないということである。しかし、ドメインエイジは、選択された再帰性閾値に関連する偽陽性率および偽陰性率が許容されるならば、より具体的な基準が全くない場合、ある限定的なセキュリティ価値を提供し得る。ドメインエイジは、例えばプロトコル、コンテンツタイプ、ホストカテゴリ、ホストの評判、ホストの初見、ホストアクセスの頻度、ウェブサービス属性など、より明確な他のフィルタリング基準と組み合わせたときに補足的な価値を提供することができる。
HTTP/Sとプロキシベースフィルタリングの文脈におけるドメインエイジ
HTTPプロトコルが使用されている場合は、より具体的な基準が常に利用可能です。HTTP と HTTPS のフィルタリングは、明示的または透過的なプロキシによって最も効果的に処理されます。プロトコルに従えば(デバイスやサービスによって強制される)、TCP接続の確立後まで、情報を転送することはできず、侵害や攻撃を開始することはできません。
トラフィックがプロキシされ、HTTPSが復号化されることを考えると、ホスト、URLパス、およびURLパラメータの正確な完全修飾ドメイン名(FQDN)は、フィルタリングの決定に使用するためにプロキシによって識別および検証される。FQDN、完全なURLパス、およびURLパラメータに関する情報を検索する能力は、ドメインまたはドメインの登録日に依存しない特定のサイト、宛先、およびサービスの履歴、リスクレベル、および使用に関するはるかに価値のある情報を提供する。 プロキシがリクエストを特定のサービスおよびそのデータセキュリティ属性(サービスのタイプ、知的財産所有、違反履歴など)と関連付けるとき、コンテキストデータはさらに強化される。
業界をリードするWebプロキシベンダーは、最も頻繁に使用されるサイト、ドメイン、アプリケーション、サービス、URLの広範かつ包括的なデータベースを保持しています。Skyhigh Security が使用する Global Threat Intelligence と Cloud Registry のデータベースは、サイト、ドメイン、URLを、ジオロケーション、カテゴリ、サービス、サービス属性、アプリケーション、データリスクの評判、脅威の評判などに関連付ける。副次的な利点として、特定のホスト、ドメイン、サービス、またはURLのエントリがデータベースにないことは、そのサイトが新しく設立されたか、ほとんど使用されておらず、したがって本質的に信頼すべきではないことを示す、非常に強力ではるかに正確な兆候である。そのようなサイトは、ドメインの年齢に関係なく、これらの基準に基づいて慎重に扱われ、ブロックされるか、コーチされるか、隔離されるべきです(後者の2つのオプションは、プロキシHTTP/Sで独自に利用可能です)。
Skyhigh Security セキュアサービスエッジ(SSE)は、上記のすべての機能を提供し、未分類のサイト、検証されていないサイト、その他のリスクのあるサイトに対するremote browser isolation (RBI)を含みます。これにより、ドメイン・エイジ・フィルタによる偽陽性や偽陰性の複雑さを追加することなく、ブラウザやその他のアプリケーションが未分類のサイトにアクセスするリスクを事実上排除します。
HTTP/Sを使用する場合、ホスト名年齢、または最初と最後のホスト名を見た日付は、追加の価値を提供することができますが、ドメイン年齢は、FQDNとより特定のサイトまたはサービス関連の情報が利用可能な場合、ほとんど意味がありません。ベストプラクティスは、ドメイン年齢に関係なく、検証されていないサイトやサービスをブロック、隔離、または最低限コーチすることです。ドメイン年齢に基づいて検証されていないサイトやサービスを許可すると、偽陰性(ドメインが最近登録されたものではないという理由だけで危険なサイトやサービスが許可される)のリスクが大きくなります。ドメイン年齢だけでサイトやサービスを一般的にブロックすると、良い評判を確立しているサイトやブロックすべきでないサイトを過剰にブロックすることになります。
結論
ドメインエイジは、ネットワークパケットの宛先について、より正確で具体的な情報が他にない場合に、フィルタリングの判断を補完するためにある程度有用であると考えられる。HTTP/Sフィルタリングにドメインエイジを使用することを検討する場合、より包括的な脅威情報およびサービスデータベースの代用としては極めて不十分である。ベストプラクティスから逸脱し、検証されていないサイトへのHTTP/S接続を隔離せずに許可することを決定した場合、ドメインエイジは、新規登録ドメインにある検証されていないサイトをブロックすることによって、限定的な補足的価値を提供できます。包括的なWeb脅威インテリジェンスを使用し、リクエストとレスポンスの徹底的な分析を行い、検証されていないサイトを単純にブロック、隔離、またはコーチするベストプラクティスと比較すると、これは誤ったセキュリティ感覚と偽陰性のはるかに大きなリスクを伴います。
システムおよびデータ保護のためのSkyhigh Securityの総合的かつ効果的なソリューションの詳細については、Security Service Edge のランディングページをご覧ください。
ブログへ戻る