URLの誤入力で年5000万アクセスを稼ぐタイポスクワッティングサイトの実態とは？

by Mary Cullen

URLの誤入力・スペルミスを利用して、特定のURLへのアクセスを全く関係ないページにリダイレクトするという手口が「タイポスクワッティング」です。インターネットセキュリティに関する情報を扱うブログ「Krebs on Security」では、2018年1月から3月までの3カ月間で既に1200万件以上のタイポスクワッティングサイトへのアクセスが確認されたと報告されています。

Dot-cm Typosquatting Sites Visited 12M Times So Far in 2018 — Krebs on Security
https://krebsonsecurity.com/2018/04/dot-cm-typosquatting-sites-visited-12m-times-so-far-in-2018/

ウェブブラウザにアドレスを手打ちで入力する際にうっかりミスタイプをしてしまった場合、本来であれば存在しないアドレスになってしまうため、「HTTP 404 Not Found(未検出)」のエラーが表示されます。しかし、世界中からたくさんアクセスされるようなサイトの場合、ウイルスやマルウェアが仕込まれたページやポルノサイトにリダイレクトされることも。

特に30年以上の歴史があり、最も使われているジェネリックトップレベルドメイン(generic top-level domain、gTLD)である「.com」は、「o」の文字を打ち漏らしてしまうミスが多いため、「.cm」を持つURLがタイポスクワッティングに利用されているケースが多いとのこと。なお、「.cm」はカメルーンの国別コードトップレベルドメインです。

iTunes・Facebook・コストコ・ウォルマートなど、特に利用者が多いサイトの「.cm」アドレスの大部分が、こうしたタイポスクワッティングに利用されています。Krebs on Securityが調査したところ、1500以上の「.cm」アドレスすべてが2つのタイポスクワッティングサイトにリダイレクトするようになっていて、ホストされているIPアドレスの大部分が共通したものだったそうです。

さらに、1000以上のタイポスクワッティングサイト群をホスティングするプロバイダから、ネットワーク全体の過去4年間のアクセスログがダウンロードできることが判明。セキュリティ専門家のマシュー・チェンバー氏が、このIPアドレスのアクセスログを分析した結果、2018年の1月～3月でのべ870万人以上の人がタイポスクワッティングに引っかかっていたことが分かりました。この結果からKrebs on Securityは、一連の「.cm」アドレスによるタイポスクワッティング被害は2018年の1月～3月で約1200万件、年間約5000万件近くに達すると算出しています。

Krebs on Securityは以上の調査結果を受けて、「ウェブブラウザのアドレスバーにサイト名を直接入力してジャンプする習慣を今すぐやめるべきで、よく訪れるサイトはブックマークに登録してジャンプする方がよい」と主張していますが、コメント欄では「悪意のあるリンクを載せるスパムメールが多かった時代の解決策は、ブラウザにアドレスを手入力することで、今度はブックマークを使うべきという流れになった。ブックマークの『.com』を『.cm』に変更するマルウェアが登場するのも時間の問題だろう」という指摘も寄せられていました。

なお、Krebs on Securityはさらなる調査で、1500以上のタイポスクワッティングサイトのドメイン登録を行っているメールアドレスを特定。さらにそのメールアドレスと紐付けられている別のメールアドレスを割り出し、そのメールアドレスがアメリカ・コロラド州にあるマーケティング企業Media Breakawayの幹部のものであることはほぼ確定的だと結論づけています。

Media BreakawayのCEOであるスコット・リヒター氏は、一日に数億通ものスパムメールを送信するスパム企業を運営してきたことで有名で、「スパム王」として名の通った人物です。リヒター氏は2003年にMicrosoftとニューヨークの検事総長に訴えられ、賠償金5億ドル(約540億円)という判決を受けて破産していますが、懲りずに設立した新しい企業でも同様に迷惑なスパムビジネスを繰り返している様子。Krebs on Securityは、リヒター氏とMedia Breakawayの両方にコメントを要求しましたが、返答は一切なかったとのことです。