ブラックリストに登録されているドメインのIPv6対応状況
Published: 2011/11/21
IPv6が利用できる環境に接することが増えてきているということで、エンドユーザーがIPv6を利用しはじめたときにセキュリティ的にどんな影響を受ける可能性があるかどうかの一例として調べてみました。
要は各種ブラックリストに登録されているドメインについてAAAA応答があるかどうかです。
ブラックリストはたくさん存在しますが、その中で以下の3つをサンプルに。(とりあえず。。。)
網羅的で登録数が多いもの、最近のデータ中心なもの、フィッシング対策用といった感じで。
malwaredomainlist.com | malwaredomains.com | phishtank | |
---|---|---|---|
総数 | 15662 | 2305 | 3544 |
AAAA応答数(平均) | 29.9 | 31.9 | 28.6 |
AAAA応答率 | 0.19% | 1.38% | 0.81% |
- AAAA応答数はだいたい同じぐらいなのですが、リストのサイズが違うので、AAAAA応答率には差があります。
- それでも1%程度はAAAAでの応答のあるドメインであるということになるかなと。
ちなみに各リスト間のAAAA応答のあったドメインの重複数は、こんな感じで、ほぼ重複なし。
malwaredomainlist.com - malwaredomains.com -> 1 malwaredomainlist.com - phishtank -> 1 phishtank - malwaredomains.com -> 1
次に、最近4ヶ月間の各リストのAAAA応答件数の推移はこう。
- Webサービス利用系が応答率が高いと思っていたのでフィッシング系が多いと想定していましたが、当初はその傾向がありましたが、徐々に減少。
- malwaredomainlist.comは、ほぼ一定
- malwaredomains.comは上昇傾向
malwaredomains.comの応答数が11月に急に上昇しているのは以下のドメインの影響。
Wordpress系の攻撃関連ですかね。
ccc.de dwrewr.c0m.li fsd.coom.in fssdfhgs.coom.in gaugusch.at gbbr.de gdasgdsa.c0m.li ggggrrrr.coom.in hdfhrrreeeww.coom.in hgdajhd.nl.ai hgdch.nl.ai hgdfhd.coom.in hgdhgd.nl.ai hjbh.nl.ai hzdgh.nl.ai janbonnema.nl jnhfj.nl.ai juyfdjhdjdgh.nl.ai kjgfg.nl.ai true-protection30.com
マルウェア配付やフィッシング、ドライブバイ等に利用される海外のデータセンターやホスティングサービスがIPv6対応しているものが増えているので、影響度は上昇しているものと想定してイましたが、サンプルで利用したブラックリストベースでみるかぎりは、それほど上昇傾向であるわけではないと。
攻撃に利用されるサービスのIPv6対応状況により結果はかなり大きく変化するという感じです。まだまだIPv6が対応途上ということですねかね。
ただ、AAAA応答が返ってきてIPv6経由でちゃんと接続できるものもあることから、無視はできない、今後の傾向には要注意といったところでしょうか。
今後も注視していきます。
セキュリティ対策については、10年以上みんな苦労してきたわけですから過去を踏まえた準備がしたいという理由でいろいろ調査しているなかの一例なのですが、IPv6になった途端に新しい人達で、それまでのナレッジも経験も踏まえず0からの検討なんてやってほしくないですよね。なんとなく、現状がそんな感じに見えるのは気のせい。。。?
by jyake