企業が自社で利用していたドメインを手放したとき、専門業者がそのドメインを買い取ってオークションサイトで販売することがあります。このような場合、もう使われなくなったWebサイトにアクセスすると、このドメインが販売中であることを知らせるオークションサイトの特別ページにリダイレクトされます。しかし、この仕組みを悪用して自らの利益につなげようとする、サイバー犯罪者の手口が発見されました。
悪意あるリダイレクト
ある人気オンラインゲームのアシスタントツールを調査していた当社のリサーチャーは、このツールが好ましからぬWebサイトへ誘導しようとすることに気付きました。プログラムのアップデートを取得するためにアクセスするWebサイトが、不正なものだったのです。調べたところ、このWebサイトのオーナーはすでにドメイン使用料の支払いをやめており、ドメインがオークションサイトで売り出されていることが判明しました。本来ならば、このWebサイトにアクセスしたとき、このドメインが販売中であることを示すページにリダイレクトされるはずですが、不正なページへとリダイレクトされるようになっていました。
調査の中で、このような不正なリダイレクトを行うページは1,000ほど見つかりましたが、実数はおそらくさらに大きいと思われます。中には、macOSに感染するトロイの木馬「Shlayer」をダウンロードさせるページもありました。Shlayerは、感染したデバイスにアドウェアをインストールするマルウェアで、悪意あるWebページを通じて感染を広げます。
問題をややこしくしているのは、不正なページに転送されるかどうかが一定ではない点です。たとえば、ある時点でロシアからアクセスして何も起こらなかったWebサイトでも、VPN経由でアクセスするとShlayerのダウンロードページに転送される場合がありました。
2019年3月〜2020年2月のデータを見ると、リダイレクト先Webサイトの89%は広告関連でした。残り11%はもっと深刻な脅威となりうるもので、マルウェアのインストールを促すページ、マルウェアに感染したMS Office文書やPDF文書のダウンロードを促すページ、またはページ自体に悪意のあるコードが埋め込まれているケースでした。
調査に当たったリサーチャーは、この活動の背後には金銭的な動機があるのではないかと考えています。背後にいるサイバー犯罪者たちは、広告ページあるいは悪質なページへ人々を誘導し、ページへの流入を稼ぐことで利益を得ている可能性があります。こうした手法は「マルバタイジング」と呼ばれます。たとえば、悪意あるページの1つでは、リダイレクトされたアクセスが10日で600件ほどありました。
この悪意あるリダイレクトには、第三者の広告ネットワークのコンテンツを表示するモジュールが関与していると考えられます。可能性としては、モジュールでの広告フィルタリングに問題があること、またはモジュールにおける脆弱性が使われていることが挙げられます。
調査の詳細については、Securelistの記事をご覧ください。
対策
このようなリダイレクトがなされるようになったWebサイトは元々正規のサイトであり、人々が過去に何度もアクセスしていた可能性があります。また、必ず悪意あるページへリダイレクトが起きるとは限らないという複雑な状況です。したがって、リダイレクトを防ぐことは困難です。悪意あるファイルのダウンロードや悪意あるコードの実行に対応できる、包括的なセキュリティソリューションの利用をお勧めします。