原題: Cloudflare Scrubs Aisuru Botnet from Top Domains List
クラウドフレア、アイスルボットネット関連の悪質ドメインをランキングから削除
近年急速に拡大しているアイスル(Aisuru)ボットネットが、クラウドフレアの公開ドメインランキングに悪質な影響を与えたため、同社はこれらのドメインをランキングから削除する対応を行いました。本記事では、この事件の背景と技術的な詳細、そして影響について解説します。
主要なポイント
- アイスルボットネットの急成長:数十万台のIoT機器を乗っ取ったボットネットで、2024年の登場以来、DDoS攻撃能力が30Tbpsに達するなど非常に強力に拡大しています。
- クラウドフレアのDNSランキングへの影響:アイスルの制御ドメインがクラウドフレアのDNSサーバー(1.1.1.1)への大量クエリを発生させ、ランキング上位に不正にランクインしました。
- クラウドフレアの対応:悪質ドメインの部分的な伏せ字処理や完全非表示化を実施し、ランキングの信頼性回復を図っています。
- ランキングの信頼性問題:DNSクエリ数のみでランキングを作成しているため、ボットネットのような自動化トラフィックがランキングを歪めるリスクが明らかになりました。
- 悪質ドメインの特徴と対策:.suドメインが多く使われており、これを監視・ブロックすることでボット活動の検知に役立つ可能性があります。
技術的な詳細や背景情報
アイスルボットネットは、主にセキュリティが甘いIoT機器(インターネットルーターや監視カメラなど)をハッキングし、数十万台規模で構成されています。これらの感染機器はボットネットの指令を受け、DNSサーバーに大量のクエリを送信します。DNS(Domain Name System)は、ドメイン名をIPアドレスに変換するインターネットの電話帳のような役割を持ちます。
クラウドフレアのDNSランキングは、1.1.1.1という同社のDNSサーバーに対するクエリ数を基に作成されています。しかし、このランキングは人間の利用を前提として設計されているものの、アイスルのようなボットによる大量の自動クエリがランキングに反映されてしまいました。
また、アイスルの制御ドメインは主に旧ソ連圏のトップレベルドメイン(TLD)である「.su」を多用しています。このドメインはサイバー犯罪に悪用されることが多く、監視やアクセス制限の対象となっています。
影響や重要性
クラウドフレアのドメインランキングは、ブラウザやDNSリゾルバ、セーフブラウジングAPIなど多くのセキュリティ関連サービスで信頼性の指標として利用されています。そのため、悪質なドメインが上位にランクインすると、誤って安全と判断されるリスクが生じます。
この事件は、DNSトラフィックの量だけでランキングを作成することの限界とリスクを浮き彫りにしました。今後は自動化トラフィックを排除し、実際の人間の利用に基づくランキング作成が求められます。また、.suドメインのように悪用されやすいTLDを監視・制限することも重要な対策となります。
まとめ
アイスルボットネットによる大量のDNSクエリがクラウドフレアのランキングを汚染したことで、同社は悪質ドメインのランキングからの削除を実施しました。この問題は、DNSランキングの設計上の課題と、IoT機器のセキュリティ脆弱性がもたらすサイバー攻撃の深刻さを示しています。今後はランキングの信頼性向上と、悪質ドメインの早期検知・対策がより一層重要になるでしょう。
