カテゴリー名 (NAMEパラメーター) |
名称 |
説明 |
CnC |
マルウェアC&Cサーバー |
既知のマルウェア(ボット)に命令を送るC&C(指令&制御)サーバー。このカテゴリーには実際の活動が観測されたものとDGA(Domain Generation Algorithm)にもとづいて予測されたものが含まれる |
Bot |
マルウェア感染ホスト |
マルウェアC&Cサーバーとの通信が観測されたホスト、および、マルウェア(ボット)への感染が明確に認められるホスト |
Spam |
SPAM送信元ホスト |
SPAMの送信が観測されたホスト、および、ブラックリストに登録されておりメールの受信が拒否されているホスト |
Drop |
流出情報サイト |
不正に取得されたパスワードやログなどの情報がアップロードされているホスト。マルウェアC&Cサーバーと重複する場合もある。情報をアップロードする側は含まない |
SpywareCnC |
スパイウェアC&Cサーバー |
ユーザーの行動を追跡する目的で使用されていると思われるサーバー。通常の広告配信サイトではなく、ツールバー、ゲーム、無料スクリーンセーバーなどのソフトウェアによって収集された情報の送信先である可能性が高い |
OnlineGaming |
疑わしいゲームサイト |
ギャンブルサイトやFlashゲームサイトなど、アクセスしてきたPCになんらかのソフトウェアをインストールしてユーザーの行動を外部に送信したり追跡したりするサイト |
DriveBySrc |
ドライブバイダウンロード誘導サイト |
不正侵入され、ドライブバイダウンロード攻撃サイトへの誘導用にコンテンツを改ざんされたサイト。NeosploitやBlackholeといった攻撃ツールに関係するものが多い |
ChatServer |
チャットサーバー |
チャットやインスタントメッセージ(IRC、Jabber、Google ハングアウト、AIM、ICQ、Baidu、Gadu-Gaduなど)の通信が観測されたサイト。本カテゴリーは該当する通信が行われているかどうかだけを示しており、脅威の有無には関知しない点に注意 |
TorNode |
Torノード |
匿名ネットワークTorの出口ノードと中継ノード |
Compromised |
脅威ホスト全般 |
不正侵入されたWebサーバー、ブルートフォース攻撃元ホストなど、悪意のある活動が観測されたホスト全般を表すカテゴリー |
P2P |
P2Pホスト |
P2Pファイル共有ネットワーク(BitTorrent、LimeWire、Kazaa、Qvodなど)のクライアントおよびソースホスト |
Proxy |
プロキシーサーバー |
HTTP、STUN、SOCKSなどのプロキシーサーバーとしての動作が観測されたホスト |
IPCheck |
IP位置情報サービス |
IPアドレスからホストの地理的位置を調べるオンラインサービスの中でも特にマルウェアによって悪用されることが多いサイト |
Utility |
有用オンラインサービス |
GoogleやBingのように広く知られている有用なオンラインサービスサイト |
DDoSTarget |
DDoS標的サイト |
実際のトラフィックや攻撃指令の観測結果から、DDoS(分散DoS)攻撃の標的にされていると判断されたサイト |
Scanner |
脆弱性スキャナー |
脆弱なWebサイトやオープンリレーメールサーバーの探索、ネットワーク/サービスの調査など、Nessusをはじめとする各種スキャナーソフトの活動が観測されたホスト |
Brute_Forcer |
ブルートフォース攻撃元ホスト |
SSH、IMAP、VNCなどの各種サービスに対するブルートフォース(総当たり)攻撃を行ったことが観測されたホスト |
FakeAV |
偽セキュリティーソフト配布サイト |
偽セキュリティーソフトの販売・配布サイト。マルウェアC&Cサーバーと重複することが多い |
DynDNS |
ダイナミックDNS |
ダイナミックDNSの使用が観測されたホスト |
Undesirable |
要注意情報サイト |
ハッキングツールのフォーラムやアップデートサイトなど、使い方次第では有用だが、悪用も可能な情報を提供しているサイト |
Abused TLD |
管理不備のトップレベルドメイン |
適切に管理されておらず、悪用されることの多いトップレベルドメインのDNSサーバーなど |
SelfSignedSSL |
証明書不備サイト |
SSLサーバー証明書として自己署名証明書や無効な証明書を使っているサイト |
Blackhole |
DNSシンクホール |
信頼できる組織が運用している既知のDNSシンクホール(ブラックホールDNS)。DNSシンクホールは、以前にC&Cサーバーが使用していたドメインを利用してボットネットの対策や観測を行う場合があるため、マルウェアC&Cサーバーと重複することもある |
RemoteAccessService |
リモートアクセスサービス |
Kaseya、GoToMyPC、Citrixなどのリモートアクセスサービスを提供しているホスト |
P2PCnC |
分散型マルウェアC&Cノード |
ZeusのようにC&C(指令・制御)機能をP2Pネットワーク上に分散させるタイプのマルウェアC&Cノード |
Parking |
ドメインパーキング |
パークドメイン(取得しただけで使用していないドメイン)およびパークドメインを管理するドメインパーキングサーバー |
VPN |
VPNサーバー |
VPNサーバーとしての動作が観測されたホスト。通信匿名化用VPNサービスの可能性がある |
EXE_Source |
EXE提供サーバー |
EXE(実行)ファイルの提供元とみなされるサーバー。悪意があるものとは限らないが、マルウェアC&Cサーバーと重複するものも多い |
Mobile_CnC |
モバイルC&Cサーバー |
モバイル環境向けのマルウェアC&Cサーバー |
Mobile_Spyware_CnC |
モバイルスパイウェアC&Cサーバー |
モバイル環境向けのスパイウェアC&Cサーバー |
Skype_SuperNode |
Skypeスーパーノード |
Skypeネットワークのスーパーノード |
Bitcoin_Related |
ビットコインマイニングホスト |
ビットコインマイニング(採掘)活動が観測されたホスト。これらのホストでは、不正なビットコインマイニングプログラムによってコンピューター資源が浪費されている可能性がある |
DDoSAttacker |
DDoS攻撃元ホスト |
DDoS(分散DoS)の攻撃元ホスト |