Webサイトの管理者は誰ですか? ―ドメイン情報の正確さの重要性とタイポスクワッティング

2014年3月20日

悪意のある第三者によって改ざんされた Web サイトが、マルウェアを拡散するための踏み台になっている場合があります。カスペルスキーの日本オフィスでは、このようなWebサイトを見つけた場合、一般のユーザーへのマルウェア感染を防ぐために、Webサイトの管理者にマルウェアが仕込まれていることを報告しています。本記事では、管理者への報告の手順を説明し、さらに、調査の過程で見つかった「タイポスクワッティング」という手法を利用した興味深い事例について紹介したいと思います。

タイポスクワッティング

1. Webサイトの管理者は誰ですか?

以下の図は、WHOISというツールを使って、実際にマルウェアが設置されていたWebサイトのドメイン情報を確認したものです。「Administrative Contact」の欄を確認してみましょう。コンタクト先にメールアドレスなどが書いてある場合もありますが、この例では「A***3JP」という記載がされています。これは株式会社日本レジストリサービス(JPRS)が管理しているJP ハンドルで、Webサイトの管理者を知る重要な手がかりとなります。

whois-01

では、この「A***3JP」を持つドメインを誰が管理しているか確認してみましょう。

whois-02

「E-mail」という欄が見つかりました。ここにあるメールアドレスが、私たちがコンタクトし、今起きているマルウェア感染について知らせるべき相手です。

このように、私たちはインターネット上から見つかるメールアドレスを手掛かりに、Webサイトからのマルウェアの拡散を少しでも減らすことができるよう、インシデントが発生しているWebサイトの管理者へ連絡を行っています。

しかし、ちょっと待ってください。このメールアドレスをはっきりとお知らせすることはできないのですが、このアドレスには、ちょっと不備があるようです。@以下にGmailとよく似た、しかし異なったメールアドレスがコンタクト先として記載されています。本来であれば、@gmail.comとなるべきですが、あるアルファベットの文字抜けがありました。

ドメイン情報を正確に記載するよう法的に規制している国もあります。しかし日本ではドメイン情報が間違って登録されていることや、わざと適当な情報が記載されているケースが見られます。このメールアドレスが正しくないと、Webサイトの改ざんによって被害者にも加害者にもなっているという事実を、Webサイトの管理者に伝えることができません。

Webサイトの管理者がドメイン登録に正しい情報を記載する、ただそれだけのことで、インターネットの世界を安全にする一助となります

ドメインの管理者情報は、誰がそのWebサイトに対して責任を持つかということを明らかにするものです。カスペルスキーには「Save the World from IT Threats(IT上の脅威から世界を救う)」というスローガンがありますが、Webサイトの管理者がドメイン登録に正しい情報を記載する、ただそれだけのことで、インターネットの世界を安全にする一助となります。

2. スペルミスから始まるマルウェア感染 -タイポスクワッティング

さて、引き続きこの例を見てみましょう。メールアドレスの@以下にある、Gmailとよく似ているけれども異なるドメインは、本当に存在しているのでしょうか。本稿の執筆時点(2014年3月14日)で、このGmailとよく似た名前を持つドメインの存在が確認されました。そして、このドメインへWebブラウザーでアクセスしてみると、動画ソフトウェアのインストーラーを装ったマルウェアが仕込まれていたのです。これは、何を意味するのでしょうか?

ユーザーがURLを入力する際に打ち間違いをするのは日常的にあることです。この偶然を利用し、ユーザーの入力ミスを待ち構えて、ユーザーの意図とは異なるWebサイトに導くことを「タイポスクワッティング(Typosquatting)」といいます(※1)。この言葉は、英語で文章の打ち間違いを指す「タイポ(typo)」と、占有するという意味の「スクワット(squat)」から来ています。タイポスクワッティングは、ある(有名な)ドメイン名と非常によく似たドメイン名をあらかじめ登録しておき、偶然起こる間違いを悪用する攻撃手法のひとつです。意図的に紛らわしいドメイン名を所有し悪用を試みる第三者は「タイポスクワッター」(※2)と呼ばれています。企業側では、商標権を侵害されるなどとして、紛らわしい名前をもつドメインのオーナーとの間でしばしば裁判を起こしています。

タイポスクワッティングという手法で作成されたドメインが、意図せずアクセスしたユーザーがうっかり偽物のインストーラーを実行するのを待ち構えていたのです

ユーザーにとっても、間違ってアクセスした先のWebサイトがスパムサイトだと、見たくもないコンテンツを見せられることになります。さらにアクセスした先の Web サイトにマルウェアが仕込まれている場合にいたっては、コンピューターがマルウェア感染の危険に晒されます。つまり、このGmailによく似たドメインは、タイポスクワッティングという手法で作成され、意図せずアクセスしたユーザーがうっかり偽物のインストーラーを実行するのを待ち構えていたのです。

マルウェアのインストールを促すこのWebサイトは、ユーザーの環境の言語に合わせ、日本語をはじめ、ドイツ語、スペイン語、フランス語、イタリア語、オランダ語、ポーランド語、ポルトガル語、ロシア語、スウェーデン語、トルコ語で表示することがわかりました。理由は不明ですが、英語はありませんでした。

以下は、そのWebサイトのスクリーンショットです。このようなWebサイトであれば、偶然アクセスしてしまったユーザーはほとんど疑うこともないままにオブジェクトをダウンロードし、インストールしてしまう可能性が高いと思われます。

日本語:

タイポスクワッティング:日本語サイト

ロシア語:

タイポスクワッティング:ロシア語サイト

カスペルスキーでは、このオブジェクトを「not-a-virus:AdWare.Win32.AirAdInstaller.*」として検知します。

今回の記事では、ドメイン情報の正確な登録の重要さを説明するとともに、調査の過程で見つかった、日本人も狙うタイポスクワッティングのWebサイトについて紹介しました。

タイポスクワッティングは、ユーザーをミスリードする手法のひとつで、数年も前から存在するわりあい古典的なものです。しかし、今なおターゲットを世界中に広げています。入力ミスから被害を引き起こすという消極的な一面もありますが、入力ミス自体を防ぐのは難しく、被害に遭遇する機会の多い攻撃と言えます。タイポスクワッティングによる被害を受けないためには、OSやセキュリティソフトウェアを更新して常に最新の状態にしておくことを推奨します。

——————————————–
※1 「URLハイジャック」ともいいます
※2  タイポスクワッティングを仕掛ける人のこと