Phishing

脅威者は、ドメインレピュテーションチェックやEメールセキュリティゲートウェイをより容易に回避するフィッシングキャンペーンにおいて、特別に使用される「.arpa」ドメインとIPv6リバースDNSを悪用している。

.arpaドメインは、通常のウェブサイトではなく、インターネットインフラのために予約された特別なトップレベルドメインです。.arpaドメインはDNSの逆引きに使用され、システムがIPアドレスをホスト名にマッピングすることを可能にする。

IPv4の逆引きはin-addr.arpaドメインを使用し、IPv6はip6.arpaを使用します。これらのルックアップでは、DNSはIPアドレスから派生したホスト名を逆順に書き、これらのドメインの1つに付加して問い合わせる。

例えば、www.google.com はIPアドレス192.178.50.36(IPv4)と2607:f8b0:4008:802::2004(IPv6)を持つ。Googleの192.178.50.36のIPをdigツールで問い合わせると、in-addr.arpaホスト名に解決され、最終的には通常のホスト名になります:

<<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> -x 192.178.50.36 ;; グローバルオプション:+cmd ;; Get answer: ;; ->>HEADER<<- opcode:QUERY, status:この場合、idは59754 ;; flags: qr rd ra; QUERY: 1, ANSWER:1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp:4096 ;; QUESTION SECTION: ;36.50.178.192.in-addr.arpa.    IN PTR ;; ANSWER SECTION: 36.50.178.192.in-addr.arpa.1386 IN PTR lcmiaa-aa-in-f4.1e100.net. ;; クエリ時間:7ミリ秒 ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) ;; WHEN:MSG SIZE rcvd:94

グーグルのIPv6アドレス2607:f8b0:4008:802::2004を問い合わせると、以下のように、まずIPv6.arpaのホスト名に解決され、次にホスト名に解決されることがわかる。

; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> -x 2607:f8b0:4008:802::2004 ;; グローバルオプション:+cmd ;; Get answer: ;; ->>HEADER<<- opcode:QUERY, status:QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp:4096 ;; QUESTION SECTION: ;4.0.0.2.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa.IN PTR ;; ANSWER SECTION: 4.0.0.2.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa.78544 IN PTR tzmiaa-af-in-x04.1e100.net. 4.0.0.2.0.0.0.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa.78544 IN PTR mia07s48-in-x04.1e100.net. ;; クエリ時間: 10 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP) ;; WHEN:MSG SIZE rcvd:171

.arpaドメインを悪用したフィッシングキャンペーン

Infobloxが観測したフィッシングキャンペーンでは、ip6.arpaリバースDNS TLDが使用されている。このTLDは通常、PTRレコードを使用してIPv6アドレスをホスト名にマッピングする。

しかし、攻撃者は、IPv6アドレスの領域を自分たちで予約すれば、フィッシングサイトのために追加のDNSレコードを設定することで、IPレンジのリバースDNSゾーンを悪用できることを発見した。

通常のDNS機能では、逆引きDNSドメインはPTRレコードに使用され、クエリーされたIPアドレスに関連するホスト名をシステムが決定できるようにする。

しかし、攻撃者は、IPv6範囲のDNSゾーンを制御できるようになると、一部のDNS管理プラットフォームでは、フィッシング攻撃に悪用できる他のレコードタイプを設定できるようになることを発見しました。

「私たちは、Hurricane ElectricとCloudflareを悪用してこれらのレコードを作成する脅威者を確認しました。

私たちのテストは網羅的ではありませんでしたが、ギャップを発見したプロバイダーには通知しました」とInfobloxは説明しています。図2は、脅威者がフィッシングメールに使用されたドメインを作成するために使用したプロセスを示しています。

インフラをセットアップするために、攻撃者はまずIPv6トンネリングサービスを介してIPv6アドレスのブロックを入手しました。

Infoblox's overview of how the .arpa TLD is abused in phishing emails
Infobloxによる、フィッシングメールで.arpa TLDがどのように悪用されているかの概要
出典:Infoblox:Infoblox

アドレス空間の制御を獲得した後、攻撃者は次に、検出やブロックが困難なランダムに生成されたサブドメインを使用して、IPv6アドレス範囲からリバースDNSホスト名を生成します。

攻撃者はPTRレコードを期待通りに設定する代わりに、これらの逆引きDNSドメインをフィッシングサイトをホストするインフラに向けるAレコードを作成する。

このキャンペーンのフィッシングメールは、賞金、アンケート報酬、またはアカウント通知を約束するルアーを使用している。ルアーは、通常のホスト名ではなく、「d.d.e.0.6.3.0.0.7.4.0.1.0.0.2.ip6.arpa」のようなIPv6逆引きDNSレコードにリンクされた画像としてメールに埋め込まれているため、ターゲットには奇妙なarpaホスト名が表示されることはありません。

Phishing email lures
フィッシング・メールは
おびき寄せる:Infoblox

被害者がフィッシングメールの画像をクリックすると、デバイスはDNSプロバイダー経由で攻撃者がコントロールする逆引きDNSネームサーバーを解決します。

HTML showing image and link using .arpa hostnames
.arpaホスト名を使用した画像とリンクを表示するHTML
出典:Infoblox:Infoblox

場合によっては、権威あるネームサーバーはCloudflareによってホストされており、逆引きDNSドメインはCloudflareのIPアドレスに解決され、バックエンドのフィッシング・インフラストラクチャの場所を隠していました。

画像をクリックした後、被害者はトラフィック配信システム(TDS)を経由してリダイレクトされ、一般的にデバイスのタイプ、IPアドレス、ウェブリファラー、およびその他の基準に基づいて、有効なターゲットであるかどうかを判断する。訪問者が検証をパスした場合、フィッシング・サイトにリダイレクトされる。そうでない場合は、正規のウェブサイトに送られる。

Infoblox社によると、フィッシング・リンクは数日間しか有効でない。リンクの有効期限が切れると、ドメインエラーや他の正規サイトにリダイレクトされる。

これは、セキュリティ研究者がフィッシング・キャンペーンを分析・調査することを困難にするためだと研究者は考えている。

さらに、「.arpa」ドメインはインターネット・インフラストラクチャー用に予約されているため、WHOIS情報、ドメイン年齢、連絡先情報など、通常登録されているドメインに見られるデータは含まれていない。このため、メールゲートウェイやセキュリティツールが悪意のあるドメインを検出することが難しくなっている。

研究者はまた、ダングリングCNAMEレコードのハイジャックや サブドメイン・シャドウイングなど、他のテクニックを使用したフィッシング・キャンペーンも観測しており、攻撃者は正規の組織にリンクされたサブドメインを通じてフィッシング・コンテンツを送信していた。

Infobloxは、「私たちは、脅威者が有名な政府機関、大学、通信会社、報道機関、および小売業者のハイジャックされたCNAMEを使用している100以上の例を発見しました」と説明しています。

セキュリティ・ツールが使用する信頼できるリバースDNS機能を武器にすることで、攻撃者は従来の検知方法を回避するフィッシングURLを生成することができる。

いつものように、このようなフィッシング攻撃を回避する最善の方法は、電子メール内の予期せぬリンクをクリックすることを避け、代わりに公式ウェブサイトから直接サービスを訪問することである。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

レッドレポート2026:ランサムウェアの暗号化が38%減少した理由

マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。

110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。