信頼性の高いドメイン名を悪用するクラッカーの新たな手口

詐欺師やスパム業者、ポルノサイトにとって、信頼性の高い有名な名前に酷似したドメイン名を使うことは、長らく一般的な手口だった。しかしクラッカーたちは、IP アドレスを乗っ取ることで、この綴り違いドメイン悪用手口に新たな側面を付け加えた。そして標的となったのは Yahoo! だ。

これまでの綴り違いドメイン問題について、サーバーベースのセキュリティ製品は、そのドメイン名の IP アドレスを追跡することで対応していた。IP アドレスが綴り違いドメイン名のものだと分かれば、セキュリティ製品はその IP アドレスを既知の詐欺サイトや疑わしい場所のデータベースと比較する。そのため、もしあるサイトが eBay になりすましていても、その実態がたった1週間前に設置したばかりの中国にあるサーバーだと見抜き、アクセスをブロックする。

しかし、セキュリティ会社 Finjan によると、今回の Yahoo! の場合、クラッカーは Yahoo! のサイト階層内にあった未使用の IP アドレスを悪用し、『Google Analytics』に偽装したドメイン名に割り当てたという。そのため、Web フィルタリング製品が IP アドレスを照会しても、信頼性の高い Yahoo! ドメインにアクセスするのだと騙されてしまい、被害者も、そしてネットワーク上のセキュリティ メカニズムも、そこが悪意ある Web サイトだとは気づかなかった。

Finjan の CTO、Yuval Ben-Itzhak 氏は取材に応え、「ドメイン名に Yahoo! が所有する IP アドレスを割り当てることで、クラッカーたちはすり抜けることに成功した。どのようにして、Yahoo! が所有する IP アドレスだと応答が返るよう DNS サーバーにアドレスを追加したかは不明だ」と語った。同氏によると、Yahoo! は乗っ取られたアドレスを直ちに閉鎖したものの、該当 IP アドレスの背後にどのような設備があったのか、正確なところは明かさなかったという。

Ben-Itzhak 氏は、該当サーバーのどこかに問題があり、Yahoo! に知られることなく、悪意ある人物が問題のコンテンツをユーザーに見せることを可能にしたのだろうとの見方を示し、ソーシャル ネットワークの問題だと語った。