Tate
お問い合わせ 資料請求
Column

初見ドメインはなぜ危険シグナルになるのか — newly observed domain という指標

ネットワークの基礎 #初見ドメイン#通信監視#検知

ネットワーク監視やセキュリティ製品の機能説明で「初見ドメイン」「newly observed domain」という言葉を見かけるようになりました。シグネチャでも脅威インテリジェンスでもなく、「このネットワークで初めて見る宛先かどうか」というだけの、一見素朴な指標です。なぜこれが危険シグナルとして機能するのか、そして「初見=悪性」と短絡しないためにどう運用すべきかを整理します。

「初めて見る」というだけの指標

初見ドメイン検知の考え方はシンプルです。ネットワークを流れる通信の接続先ドメインを観測し続け、過去に一度も観測されていないドメインへの接続が発生したら、それをイベントとして記録・通知する。それだけです。

この指標の特徴は、事前知識を必要としないことです。脅威インテリジェンスのリストに載っているか、評判が悪いか、といった外部の判定に依存しません。基準は「この環境にとって新しいか」だけ。だからこそ、まだどのリストにも載っていない真新しい攻撃インフラにも反応できます。

なぜシグナルになるのか — 反復する業務、使い捨てる攻撃者

この指標が効く理由は、正常な通信と攻撃の通信の性質の差にあります。

  • 業務通信は反復的 — 組織のネットワークから出ていく通信の大半は、毎日同じ顔ぶれです。業務システム、クラウドサービス、更新サーバ……。安定運用されている環境ほど、接続先の集合は時間とともに固まっていきます
  • 攻撃インフラは使い捨てが多い — 一方、攻撃者が使うドメイン(C2サーバ、フィッシングサイト、持ち出し先)は、検知やテイクダウンを避けるため短命で、頻繁に作り替えられる傾向があります。取得されたばかりのドメインが攻撃に使われるケースは珍しくありません

つまり「初めて見る宛先への接続」は、安定した日常からの逸脱そのものを捉えています。攻撃の中身が何であれ、見たことのない宛先と通信を始めたという事実は、調査に値する変化です(C2通信がなぜ外向きの接続として現れるかはC2通信とbeacon検知の基本を参照)。

特に効く環境 — 接続先が安定したホスト

初見ドメインの価値は、環境のノイズの少なさに大きく左右されます。

環境接続先の性質初見ドメインの価値
人が自由にWebを閲覧する端末毎日新しいサイトを見る。初見が日常低い(ノイズに埋もれる)
業務システム中心の端末おおむね安定、時々新規中程度
サーバ・AIエージェント専用ホスト接続先が小さく安定高い(初見=ほぼ確実に「何かが変わった」)

人間のWebブラウジングが流れる回線では、初見ドメインは毎日大量に発生し、シグナルとして薄まります。逆に、サーバセグメントやAIエージェント専用ホストのように接続先が本来固定的な環境では、初見ドメインの発生自体が異常であり、1件1件が高シグナルになります。「どの回線にこの指標を適用するか」が、この手法の効果を決める最大の要因です。

誤検知の現実 — 初見=悪性ではない

ここが運用上もっとも重要な点です。初見ドメインは「悪性の証拠」ではなく「変化の通知」です。正当な理由で初見ドメインが発生するケースは普通にあります。

  • 業務で新しいSaaSやAPIを使い始めた
  • 利用中のサービスがCDNや配信ドメインを切り替えた(利用者側の操作なしに接続先が変わる)
  • ソフトウェアの更新先・テレメトリ先の変更

したがって「初見を検知したら即遮断」という運用は、正当な業務を止めるリスクと隣り合わせです。現実的なのは、初見ドメインを**「要調査キュー」として扱う**運用です。検知の段階では止めず(あるいは監視モードで記録し)、人が「これは新しい業務サービスか、説明のつかない宛先か」を判定する。この判定こそが人にしかできない部分であり、指標はその入力を提供する役割だと割り切ります。

運用への組み込み — レビューと昇格のフロー

初見ドメイン検知を実際の運用に載せるときの骨格は、次のようになります。

  1. レビューの頻度を決める — 接続先が安定した環境なら初見イベントは少なく、日次〜週次のレビューで現実的に回せます。発生量が多すぎてレビューが回らないなら、それは適用する回線の選定を見直すサインです
  2. 判定の基準を用意する — 「申請済みの新サービスか」「組織内の他ホストも接続しているか」「宛先の素性(取得時期・運営者)は説明がつくか」といった確認観点を決めておく
  3. 許可リストへの昇格フローを作る — 正当と判定した宛先は許可リストに昇格させ、次回からは初見として扱われないようにする。この昇格の手続きを誰がどう承認するかまで決めておくと、リストが無秩序に膨らむことを防げます(リスト運用の設計は許可リスト運用の設計で詳しく扱います)

「検知して終わり」ではなく、初見 → 調査 → 昇格または拒否という循環を回すことで、許可リストは環境の実態に沿って育ち、初見イベントはますます少なく・濃くなっていきます。

まとめ

  • 初見ドメイン(newly observed domain)は「この環境で初めて見る宛先」というだけの、事前知識に依存しない指標
  • 業務通信は反復的、攻撃インフラは使い捨てが多い——その性質の差がシグナルの根拠
  • 効果は環境次第。接続先が安定したサーバ・AIエージェント専用ホストで特に強く効き、自由閲覧の回線ではノイズに埋もれる
  • 初見=悪性ではない。新規サービス利用やCDN切替など正当な初見もあるため、「要調査キュー」として人が判定する運用にする
  • 初見 → 調査 → 許可リストへの昇格、という循環を回すことで、検知の精度と許可リストの両方が育つ

Tate(盾)は、観測した接続先のうち初見のドメインを要調査イベントとして提示します。詳しくは可視化・AI解析をご覧ください。

AIエージェントの外向き通信、見えていますか。

Tate(盾)は、回線に挟むだけで導入できる L2透過型ファイアウォール・アプライアンスです。現在、先行案内・お問い合わせを受け付けています。

資料請求・お問い合わせ AIガードレールを見る