怪しいドメイン名には特徴がある SANSが新たな評価指標を発表：セキュリティニュースアラート

SANS Instituteの研究者が不審なドメインをスコア化して検出・分析する仕組みを発表した。新規ドメインとTLS証明書ログを活用しており、透明性と柔軟性を兼ね備えた実験的取り組みとして注目されている。

[後藤大地，有限会社オングス]

　SANS Instituteの研究部長ヨハネス・ウルリッヒ氏は2025年7月13日（現地時間）、「疑わしいドメインフィード」の概要を公表した。

　このフィードはこれまで数年間にわたって運用されてきた「新規登録ドメイン」フィードを基盤としており、インターネット管理組織ICANNの集中ゾーンデータサービスやTLS証明書トランスペアレンシーログを利用して構築されている。

疑わしいドメインの新基準　SANSが提示する評価指標とは？

　ICANNのサービスは、協力しているトップレベルドメインからの情報のみを提供しているため、国別ドメインに関する情報は網羅されていない。その欠落を補う手段として、TLS証明書ログが有効と判断されている。多くのドメイン登録業者は、初期段階で証明書を発行するため、TLS通信が利用されるケースが一般的となっている。この特性により、フィッシングサイトなどの悪質なドメインの動向も把握しやすくなる。

　このシステムを通じて、1日に約25万件の新規ドメイン情報が取得されている。その中には、見慣れない形式や意味不明な文字列を含むドメインも多く存在しているため、危険性の判定は慎重を要する。SANS Instituteは不審なドメイン名の基準として以下を指摘している。

• ドメイン名が非常に短いか非常に長い
• ドメイン名のエントロピー（単なるランダムな文字かどうか）
• 数字やハイフンの頻出
• 異なる言語の混在
• フィッシングサイトでよく使用される「bank」「login」などのキーワード、「Google」「Apple」などのブランド名が含まれているかどうか

　このような判断基準に基づき、今回各ドメインに対してスコアが付けられる仕組みが新たに導入された。このスコアによって、怪しい可能性のあるドメインを優先的に精査できる。この評価は日次レポートとして提供されており、API経由でも参照できるようになっている。この手法は試験段階にあるため、採用されるアルゴリズムは今後も見直しが続けられる予定だ。

　かつて運用されていた旧式の疑わしいドメインフィードは、外部の無償フィードとの相関に依存していた。しかし、それらの外部情報源が廃止されたり有料化されたりしたことにより、継続的な運用が困難となったため、新しい独自の仕組みが求められた背景がある。

　同プロジェクトは、研究目的においても有益な情報源と位置付けられており、さらなる改善のために利用者からの意見が求められている。情報の透明性と分析の柔軟性を両立するこの取り組みは、インターネットの安全性を高める一助となることが期待されている。