新しいフィッシングキャンペーンが予約済みドメイン名空間を悪用

（MENAFN-中東情報）Infoblox Threat Intelの新しい調査によると、犯罪者がインターネットの中核部分を歪め、多くの現代のセキュリティチェックをすり抜ける方法を明らかにしています。

ドバイ、UAE、2026年2月 – フィッシング攻撃は至る所で見られますが、これまでのところ、その手口は明確なパターンや傾向に従ってきました。Infoblox Threat Intelの調査は、異常な現象を発見しました。それは、サイバー犯罪者が被害者を狙うために新たに利用している方法です。悪意のあるキャンペーンは、セキュリティコントロールを回避するために、従来報告されていなかった新しい手法を用いています。それは、インターネットインフラ用に予約されたドメイン名空間の一部を悪用し、スパムを通じてフィッシングを行うものです。攻撃者はIPv6トンネルを作成し、その後逆引きDNSレコードを利用して偽のサイトをホストしています。これは混乱を招く攻撃手法ですが、同時に非常に効果的です。これらのDNSレコードはトップレベルドメインにホストされているため、セキュリティ製品に気付かれにくいのです。

一般的なTLD（トップレベルドメイン）である.comや.netとは異なり、.arpaはDNS（ドメインネームシステム）において特別な役割を果たしています。主にIPアドレスとドメインのマッピングに使用され、逆引きDNSレコードを提供しますが、ウェブサイトをホストするためのものではありません。脅威のアクターは、一部のDNSプロバイダーのレコード管理コントロールの機能を発見し、それを利用してドメインのIPアドレスレコードを追加し、そのインフラの背後に悪意のあるコンテンツを自由にホストしています。その後、彼らは無料のIPv6トンネルを取得し、多数のIPアドレスをキャンペーンに使用しています。IPv6トンネルも本来の目的ではありません。これは、レガシーなIPv4機器しか存在しないインターネットのトランジットを支援するためのものです。

「攻撃者が悪用しているのは、インターネットの根幹そのものです」と、Infoblox Threat Intelの副社長、ルネ・バートン博士は述べています。「逆引きDNS空間はウェブコンテンツをホストするために設計されたものではないため、多くの防御策はそれを潜在的な脅威の表面として見ていません。これをフィッシングの配信手段に変えることで、攻撃者はドメインの評判やURL構造に依存した従来のコントロールを回避しています。防御側はDNSインフラ自体を攻撃者にとって価値の高い資産とみなす必要があり、あらゆる場所での乱用を見抜く可視性を持つ必要があります。」

これらのキャンペーンで観測されたフィッシングメールは、大手ブランドを偽装し、「無料ギフト」や賞品を約束します。メッセージは一つの画像で構成され、その中に埋め込まれたハイパーリンクがあり、被害者をトラフィック分散システム（TDS）を経由して偽のウェブサイトへ誘導します。一方、見えるURLは、攻撃者が操作している逆引きDNS文字列を決して明らかにしません。

添付資料：

インフォグラフィック：フィッシングメールでTLDを悪用する手法の概要

写真：ルネ・バートン博士、Infoblox Threat Intel副社長

Infoblox Threat Intelについて：

Infoblox Threat Intelは、オリジナルのDNS脅威情報の主要な創作者であり、多くのアグリゲーターの中で際立っています。私たちの特徴は二つあります：高度なDNSスキルと比類なき可視性です。DNSは解釈や追跡が非常に難しいですが、私たちの深い理解とインターネットの内部構造への独自のアクセスにより、他者が見えない脅威アクターを追跡できます。私たちは受動的ではなく積極的に、脅威の発生源を断つために洞察を活用します。また、詳細な調査結果を公開し、GitHubで指標を公開することで、より広範なセキュリティコミュニティを支援しています。さらに、私たちのインテリジェンスはInfoblox DNS Detection and Responseソリューションにシームレスに統合されており、顧客は自動的にその恩恵を受け、誤検知率も非常に低く抑えられています。

Infobloxについて： Infobloxは、ネットワーク、セキュリティ、クラウドを統合し、堅牢かつ機敏な運用プラットフォームを構築しています。フォーチュン100のうち92社を含む6,000以上の顧客から信頼されており、重要なネットワークサービスをシームレスに統合・保護・自動化することで、企業が妥協せずに迅速に進められるよう支援しています。