マルウェアドメインブロックリストとは何か（そして500以上のソースを統合する方法）

マルウェアドメインブロックリストとは、マルウェア、フィッシング、コマンド&コントロール（C2）インフラ、または流出エンドポイントをホストすることが知られているドメインとIPアドレスのキュレーションされたコレクションだ。ウェブスキミングにおけるその価値は直接的だ：チェックアウトページがこのリスト上のドメインに接続した場合、確認済みインシデントとなる。

一つのソースでは不十分だ。フィードごとにカバーする脅威が異なり、更新頻度も異なり、誤検知レベルも異なる。ExploitShieldは500以上のソースをいくつかのカテゴリにまとめている：商用インテリジェンス（Spamhaus DBL、DROP、SURBL）、オープンコミュニティフィード（URLhaus、OpenPhish、PhishTank、abuse.ch、MalwareBazaar、Feodo Tracker、ThreatFox）、DNSレイヤーレピュテーション（Quad9、公開OpenDNSリスト）、汎用検出リスト（Maltrail、StevenBlack）。

統合プロセス：各フィードは正規形式（ドメイン、IP、またはURLパターン）に正規化され、ソース間で重複排除され、出所と信頼度のタグが付けられ、1時間ごとに更新される。スキャンごとに、ブラウザが見た送信先は古くなったローカルコピーではなく統合セットと照合される。

更新頻度が重要な理由：流出ドメインはわずか数日しか存在しないことが多い。週次更新のリストでは完全に見逃す。1時間ごとに更新されたフィードに対してスキャンごとに照合することで、キャンペーンが最も多くのダメージをもたらす活動開始後最初の数時間のうちにドメインを捕捉できる。

ブロックリストだけが答えではない——いかなるフィードにも載っていない全く新しいドメインはWHOIS年齢とスキマー形状のヒューリスティックでフラグが立てられる。しかし既知の脅威に対しては、幅広く頻繁に更新されるカバレッジが第一防衛線であり、だからこそエンジニアリングの問題として扱い、一回限りの統合とはしていない。