アメリカの科学者グループがウェブ詐欺に関する人工知能を開発し、登録時のドメイン分析によって、後にスパマーや詐欺師の巣窟となるドメインを早期に警告できることを実証した。
そのアイデアは、ドメイン名の単語や語順がわずかに異なるドメインを大量購入するなど、誰かがスパムやマルウェア キャンペーンのようなものを準備していることを示唆する登録時の行動の種類にタグを付けるというものです。
プリンストン大学のニック・フィームスター教授とカリフォルニア大学サンタバーバラ校の博士課程学生であるシュアン・ホーは、アレックス・カンチェリアン(カリフォルニア大学バークレー校)、グーグルのブラッド・ミラー、国際コンピュータサイエンス研究所のバーン・パクソンと協力し、登録時にドメイン不正使用を積極的に認識して排除する「PREDATOR」を開発しました。
重要な数字は次の通りである。研究者らは、PREDATOR は後に悪用されたドメイン登録の 70 パーセントを特定したと述べており、誤検出率はわずか 0.35 パーセントであると主張している。
(彼らは 1 日あたり 80,000 のドメインが登録されていると書いているので、それでも 1 日あたり約 250 のサイトが不当に悪質とタグ付けされていることになります。そのため、PREDATOR ではその点についてまだ改良が必要です)。
彼らの論文は先週、米国計算機協会の「コンピューターと通信のセキュリティに関する会議 2016」で発表されました。
多数の類似した名前が登録されるだけでなく (下の画像は論文からの引用)、詐欺師の登録は集中的に行われ、それが PREDATOR の評判データベースの構築にも役立っていると Feamster は指摘しています。
詐欺師から似たような名前が多数届くが、ブラックリスト化には時間がかかる
登録が「集中的に」増加する理由の一つは、詐欺師が取得できそうなドメインを探すために有効期限切れのデータベースを監視していることです。こうした「再利用」は通常、午前 10:15 から 10:30 の間に登録されますが、新規の詐欺登録活動の急増は通常、午後 12:35 から 1:15 の間に発生します。
詐欺師は、レジストラの大量割引にも注意を払っています。なぜなら、詐欺は利益率の低い大量取引だからです。
研究者たちは、ドメイン名ゾーンアラートファイルを分析し、機械学習モデルをトレーニングすることで、比較的遅いブラックリスト作成プロセスを回避するための最初の対応として業界が使用できる監視リストを作成しようとしている。
PREDATOR に重要な入力を提供するその他の機能には、次のものがあります。
- レジストラ –詐欺師は少数のレジストラに集まる傾向があります。この報告書によると、ドットコムスパムの79%は10社のレジストラを経由しており、ドットネット詐欺の84%は10社のレジストラを経由しています(そのうち5社のレジストラは両方のリストに掲載されていました)。
- ドメイン プロファイル内のその他の機能 (権威ネームサーバー、IP アドレス、既知の悪質なドメインとの名前の類似性など)
- 前述の時間スパイクを含む登録履歴。
PREDATOR が成功すれば、おそらく最も重要な影響は、詐欺師の財務上の想定を覆すことです。ドメインの取得には、より多くの資金と時間を費やす必要が生じるためです。®
