多くのセキュリティ関係者と同じように、トレンドマイクロのリサーチャである私たちも、毎週新たな不正な Webサイトを数多く確認しています。正直、多すぎると言ってもいいぐらいです。私たちが他のセキュリティ関係者と異なるところと言えば、「.cc」のような「トップレベルドメイン(TLD)」を見れば、それがインド洋に浮かぶ全人口600人に満たないココス諸島に関係していること、そして、この TLD「.cc」が数年前に不正ホスティングに悪用されていた問題をすぐに思い出すことでしょうか。
そして、TLD「.bit」が確認されたのはかなり特殊な状況下でした。まず、「.bit」は弊社の監視下になく、そもそも、インターネットの IPアドレスやドメイン名など管理する「ICANN」からも割り当てられていなかったことがわかりました。しかし、不正プログラムが問題の TLDを利用して通信するのを阻止していませんでした。
さらなる調査により、「.bit」は、電子通貨「Namecoin(ネームコイン)」として知られるシステムに関連していることが明らかになりました。ネームコインは、より有名な電子通貨「Bitcoin(ビットコイン)」から派生したもので、ビットコインと非常に似た概念を持っています。ネームコインは、ドメインネームの登録および管理の分散する手段としての役割を担います。
ネームコインは、匿名で国や国際機関の管理外のドメインネームを登録することができるため、一見すると犯罪目的には最適なものに思えます。また「sinkhole」を用いた「ワナ」にドメインレベルで引っかかることもありません。こうした好条件を備えるネームコインを犯罪者が見逃すはずはないでしょう。
弊社では、TDL「.bit」に関わるシステムについて調査を重ね、このシステムが備える弱点も確認しました。そして、不正プログラムを利用するネームコインや、「.bit」のシステム、そして「.bit」のドメインを利用する不正プログラムの解析も実施しました。
本調査に関する詳しい情報は、以下のリサーチペーパをご覧ください。
Bitcoin Domains(英語情報)
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-bitcoin-domains.pdf
※協力執筆者:David Sancho
・サイバー犯罪者、ビットコインマイニングマルウェアを拡散する
http://about-threats.trendmicro.com/relatedthreats.aspx?language=jp&name=Cybercriminals%20Unleash%20Bitcoin-Mining%20Malware
・Bitcoin(英語情報)
http://about-threats.trendmicro.com/us/definition/bitcoin/
参考記事:
「A .BIT Odd」
by Robert McArdle (Senior Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)