DDI（DNS、DHCP、IPAM）ソリューションを提供するInfobloxは2025年8月5日、世界中のDNSトラフィックと脅威アクターの動向を分析した「2025年DNS脅威状況レポート」を発表した。

レポートによると、新たに観測された1億800万件のドメインのうち、25.1％が悪意ある、あるいは疑わしいものとして分類され、DNSを起点としたサイバー攻撃の拡大と巧妙化が浮き彫りになったとしている。

同社の脅威インテリジェンスチームは、数千の顧客環境と日次700億件を超えるDNSクエリを分析。新規ドメインの大量登録によって既存のフォレンジック（後追い）型対策が機能しにくくなっていると指摘した。脅威関連ドメインの95％は、1つの顧客環境でしか観測されておらず、横断的な検知が難しいという。

また、顧客環境の82％が悪質な広告技術関連ドメインに接触していた。これらはトラフィック分配システム（TDS）を通じて多数のドメインを切り替え、検知を逃れながらマルウェアやフィッシングサイトへ誘導する手口が取られている。

「脅威アクターが大量のドメイン名を登録するだけでなく、DNSの誤設定を利用して既存ドメインを乗っ取り、大手ブランドを偽装するなど、多様な方法でDNSを悪用している」と、Infoblox Threat Intel責任者のレネー・バートン博士は述べている。

こうした状況に対処するため、同社はプロテクティブDNSソリューション「Threat Defense」の機能を強化した。新バージョンは、AIや機械学習を用いた予測的な脅威検知によって、攻撃がインフラに影響を与える前にブロック可能であるという。悪性ドメインを平均で68日早く検出し、誤検知率は0.0002％にとどまるとしている。

強化された機能には、被害発生前に遮断した脅威数を可視化することで投資対効果（ROI）を示す仕組みや、集中管理型のセキュリティワークスペース、DNS設定を変更せずに脅威を検出できる「検知モード」などが含まれる。保護対象資産とのデータ統合による調査支援機能も提供し、価格体系には柔軟なトークンベースライセンスを採用している。

同ソリューションはグーグルクラウドのDNSセキュリティ機能「DNS Armor」にも採用されており、2025年8月より同機能のパブリックプレビューも開始される予定だ。