ダイレクトナビゲーション――Webブラウザにドメイン名を手入力してサイトを訪れる行為――は、これまでになく危険になっています。新たな調査によれば、「パーキング」されたドメイン(主に期限切れまたは休眠状態のドメイン名、あるいは人気サイトのよくあるスペルミス)のおお多数が、訪問者を詐欺やマルウェアを押し付けるサイトへリダイレクトするよう設定されていることが分かりました。
FBIのInternet Crime Complaint Center(インターネット犯罪苦情センター)サイトに似せたドメインは、脅威のないパーキングページ(左)を返した一方で、モバイルユーザーは2025年10月に即座に欺瞞的コンテンツ(右)へ誘導されました。画像:Infoblox。
インターネット利用者が期限切れのドメイン名にアクセスしようとしたり、見た目が似た「タイポスクワッティング」ドメインに誤ってアクセスしたりすると、通常はドメインパーキング会社のプレースホルダーページに誘導されます。そこでは、表示されるリンクの掲載料を支払った複数の第三者サイトへのリンクを表示することで、迷い込んだトラフィックを収益化しようとします。
10年前は、こうしたパーキングドメインに行き着いても、悪意ある目的地へリダイレクトされる可能性は比較的小さいものでした。2014年、研究者らは発見しました(PDF)。パーキングドメインがユーザーを悪意あるサイトへリダイレクトするのは、訪問者がパーキングページ上のリンクをクリックしたかどうかに関係なく、5%未満だったのです。
しかし過去数カ月にわたる一連の実験で、セキュリティ企業Infobloxの研究者らは、状況がいまや逆転しており、パーキングサイトでは悪意あるコンテンツが圧倒的に「通常」になっていることを突き止めたと述べています。
「大規模な実験では、パーキングドメインの訪問者が90%超の確率で、違法コンテンツ、詐欺、スケアウェアやアンチウイルスソフトのサブスクリプション、またはマルウェアへ誘導されることが分かりました。『クリック』はパーキング会社から広告主へ販売され、広告主はしばしばそのトラフィックをさらに別の当事者へ転売していました」とInfobloxの研究者らは、本日公開された論文に記しています。
Infobloxによると、訪問者が仮想プライベートネットワーク(VPN)を使っている場合、あるいは非住宅用のインターネットアドレス経由でアクセスした場合、パーキングサイトは無害になります。たとえばScotiabank.comの顧客が誤ってドメインをscotaibank[.]comと打ち間違えた場合、VPNを使用していれば通常のパーキングページが表示されますが、住宅用IPアドレスからアクセスすると、詐欺やマルウェア、その他の望ましくないコンテンツを押し付けようとするサイトへリダイレクトされます。繰り返しますが、このリダイレクトは、住宅用IPアドレスを使用しているモバイル端末またはデスクトップPCで、スペルミスしたドメインを訪れるだけで発生します。
Infobloxによれば、scotaibank[.]comの所有者(個人または組織)は、約3,000件に及ぶ類似ドメインのポートフォリオを保有しており、その中にはgmai[.]comも含まれます。これは、受信メールを受け付けるための独自メールサーバーが設定されていることが確認できます。つまり、Gmailユーザーにメールを送る際に「gmail.com」の「l」を誤って抜かしてしまうと、そのメールは空中に消えたり、バウンス返信が返ってきたりするのではなく、詐欺師のもとへ直行します。報告書は、このドメインが最近の複数のビジネスメール詐欺(BEC)キャンペーンでも悪用されており、支払い失敗を示す誘い文句と、トロイの木馬型マルウェアの添付が使われている点も指摘しています。
Infobloxは、この特定のドメイン保有者(共通のDNSサーバー――torresdns[.]com――によって判別)が、Craigslist、YouTube、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay、Microsoftなど、主要なインターネット宛先を狙ったタイポスクワッティングドメインを多数設定していることを突き止めました。これらタイポスクワッティングドメインの無害化(defanged)リストはこちらで入手できます(一覧中のドメインのドットはカンマに置き換えられています)。
Infobloxの脅威研究者David Brunsdon氏は、パーキングページが訪問者をリダイレクトの連鎖に通し、その間ずっとIPジオロケーション、デバイスフィンガープリンティング、Cookieを用いて訪問者のシステムをプロファイリングし、どこへ誘導するかを判断していると述べました。
「脅威が到達するまでに、パーキング会社の外にあるドメインを1つか2つ経由するリダイレクトの連鎖になっていることが多かった」とBrunsdon氏は言います。「引き渡しのたびにデバイスは何度も何度もプロファイルされ、最終的に悪意あるドメインへ渡されるか、あるいは狙う価値がないと判断されればAmazon.comやAlibaba.comのようなおとりページへ回されます。」
Brunsdon氏は、ドメインパーキングサービスは、パーキングページで返す検索結果はパーキングされたドメインに関連するよう設計されていると主張しているものの、テストした類似ドメイン名に関しては、表示されたコンテンツのほとんどが関連していなかったと述べました。
Infobloxによると、domaincntrol[.]comを所有する別の脅威アクター――GoDaddyのネームサーバーと1文字だけ異なるドメイン――は、DNS設定のタイプミスを長年悪用し、ユーザーを悪意あるWebサイトへ誘導してきました。しかし近カ月、Infobloxは、この悪意あるリダイレクトが、設定ミスのあるドメインへの問い合わせがCloudflareのDNSリゾルバ(1.1.1.1)を使用する訪問者から来た場合にのみ発生し、それ以外の訪問者には読み込みを拒否するページが返されることを発見しました。
研究者らは、よく知られた政府ドメインのバリエーションでさえ、悪意ある広告ネットワークに狙われていることを突き止めました。
「当社研究者の1人がFBIのInternet Crime Complaint Center(IC3)に犯罪を報告しようとした際、ic3[.]govではなく誤ってic3[.]orgを訪れてしまいました」と報告書は述べています。「そのスマートフォンはすぐに偽の『Drive Subscription Expired(ドライブのサブスクリプションが期限切れ)』ページへリダイレクトされました。詐欺に遭っただけでもまだ幸運で、私たちが学んだことからすれば、情報窃取型マルウェアやトロイの木馬を受け取っていてもおかしくありませんでした。」
Infobloxの報告書は、追跡した悪意ある活動が既知のいかなる当事者にも帰属していないことを強調し、調査で名前が挙がったドメインパーキングや広告プラットフォームは、同社が記録したマルバタイジングに関与していないと指摘しています。
しかし報告書は、パーキング会社が「一流の広告主としか取引しない」と主張している一方で、これらドメインへのトラフィックはアフィリエイトネットワークに頻繁に販売され、さらに転売が繰り返された結果、最終的な広告主はパーキング会社と取引関係を持たないケースが多かった、と結論づけています。
Infobloxはまた、Googleによる最近のポリシー変更が、ダイレクト検索の悪用によるユーザーリスクを意図せず高めた可能性があるとも指摘しました。Brunsdon氏によれば、以前はGoogle Adsenseがデフォルトでパーキングページへの広告掲載を許可していましたが、2025年初頭にGoogleはデフォルト設定を変更し、パーキングドメイン上での広告表示を顧客がデフォルトでオプトアウトする形にしました。つまり、広告運用者が自ら設定画面に入り、掲載先としてパーキングを有効化しない限り、パーキングドメインには広告が出ないようになったのです。
翻訳元: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
