ダイレクトナビゲーション――ユーザーがブラウザにWebサイトのアドレスを手入力する行為――は、明らかに危険性が増しています。Infobloxの研究者は、「パーキング」されたドメインの大半が、訪問者を自動的に詐欺ページやマルウェアを含むサイトへ誘導するよう設定されていることを突き止めました。これには、期限切れまたは休眠中のドメインに加え、人気アドレスのタイプミス版――ほんの一瞬の不注意でユーザーが踏み込んでしまう、まさにその罠――も含まれます。
通常、そのようなドメインにアクセスした訪問者は、中立的なパーキングページのプレースホルダー、つまり迷い込んだトラフィックを広告主へのクリック販売で収益化するためのリンク集が表示されると想定します。しかし、調査の著者が指摘するように、リスクの状況は劇的に変化しました。10年前は脅威は比較的軽微で、2014年の研究では、悪意あるリソースへリダイレクトするパーキングドメインは5%未満であり、しかもページ上でクリックを必要としない形でした。
Infobloxによれば、そのバランスはその後逆転しました。ここ数か月にわたって実施された一連の実験で研究者は、90%以上のケースで、パーキングドメインを訪れるだけで違法コンテンツ、詐欺スキーム、スケアウェア、強引な「アンチウイルス」購読、あるいは露骨なマルウェア配布ページへリダイレクトされることを確認しました。「クリック」そのものはパーキング会社によって広告主に販売され、広告主はしばしばトラフィックをさらに連鎖的に転売します。その最終到達点は、事実上誰であってもおかしくありません。
特に注目すべき点の一つは、ドメインへのアクセス方法によって挙動が大きく異なることです。Infobloxは、VPN経由や非居住用IPアドレスからアクセスした場合、パーキングサイトが無害に見えることがあると報告しています。対照的に、一般的な家庭回線――スマートフォンや個人用コンピュータ――からだと、ユーザーがタイプミスしたアドレスを入力しただけで、疑わしいコンテンツへのリダイレクトが即座に発動する可能性があります。
例として研究者は、Scotiabankの正規サイトと容易に取り違えられるドメイン scotaibank[.]com を挙げています。VPN経由でアクセスすると標準的なパーキングページが表示されますが、居住用IPからは、詐欺やマルウェア、その他の望ましくない「オファー」を押し付けようとするコンテンツへリダイレクトされます。Infobloxによれば、このドメインの所有者は、同様のアドレスを約3,000件近く保有するポートフォリオを管理しています。その中には gmai[.]com もあり、報告書によると、受信メッセージを受け取るための独自メールサーバーが設定されています。つまり、送信者が gmail.com の「l」を誤って省略しても、メールはバウンスせず、そのドメインに直接配信されてしまいます。研究者はさらに、gmai[.]com が最近の複数のビジネスメール詐欺(BEC)キャンペーンに登場しており、支払い失敗を装った誘い文句の裏で、添付ファイルにトロイの木馬が隠されていたと付け加えています。
著者らは、共有DNSサーバー torresdns[.]com を介してこのインフラの一部を関連付け、こうしたドメインがCraigslistやYouTubeから、Google、Wikipedia、Netflix、TripAdvisor、Yahoo、eBay、Microsoftに至るまで、数十の著名サービスを標的にしていると報告しています。Infobloxの脅威研究者デイビッド・ブランズドンによれば、訪問者はリダイレクトの連鎖を通過させられる一方で、IPジオロケーション、ブラウザおよびデバイスのフィンガープリンティング、Cookieを用いて端末が密かにプロファイリングされます。多くの場合、リダイレクトはパーキング事業者の管理外にある1~2個の中継ドメインを経由し、各段階で訪問者プロファイルが精緻化されたうえで、最終的に悪意あるサイトへ送られます――あるいは、攻撃が「採算に合わない」と判断されれば、AmazonやAlibabaのようなおとりへ迂回させられます。
報告書はまた、domaincntrol[.]com というドメインに関連する別のアクターにも言及しています。これはGoDaddyのネームサーバーと1文字しか違わず、DNSのタイプミスを悪用してトラフィックを悪意ある宛先へ吸い上げてきた長い経緯があります。ここ数か月、Infobloxは、CloudflareのDNSリゾルバ(1.1.1.1)に依存するユーザーからのリクエストの場合にのみ悪性リダイレクトが有効化され、それ以外ではページが単に読み込めないことを観測しました。
リスクにさらされるのはブランドだけではなく、「ほぼ政府機関」的なアドレスも同様です。報告書は、ある研究者がFBIのインターネット犯罪苦情センター(IC3)に犯罪を報告しようとして、ic3[.]gov ではなく誤って ic3[.]org を開いてしまい、スマートフォン上で「Driveのサブスクリプションが期限切れ」と警告する偽ページへ即座にリダイレクトされた事例を紹介しています。著者らは、その人物が情報窃取型マルウェア(インフォスティーラー)やトロイの木馬のようなマルウェアではなく、詐欺ページに遭遇したのは不幸中の幸いだったと強調しています。
Infobloxは、観測された悪意ある活動が既知の脅威グループのいずれにも帰属していないこと、また調査で言及されたパーキングサービスや広告プラットフォームが、記録されたマルバタイジングを意図的に組織したと非難されているわけではないことを強調しています。それでも報告書の結論は不穏です。パーキング会社は大手広告主としか取引しないと主張するものの、実際にはトラフィックがパートナーネットワークを経由して頻繁にルーティングされ、転売が進みすぎた結果、最終的な「広告主」がパーキング事業者と直接の関係を持たない場合すらあるのです。
最後にInfobloxは、研究者の見解ではユーザーリスクを意図せず高めた可能性がある、Googleポリシーの最近の変更に注意を促しています。ブランズドンは、Google AdSenseが以前はデフォルトでパーキングページ上の広告を許可していた一方、2025年初頭にGoogleが、パブリッシャーが明示的にオプトインしない限りパーキングドメインでの広告配信を無効化する設定を導入したと指摘しています。つまり、そのようなページを収益化したい人は、広告掲載枠としてのパーキングを手動で有効化する必要があります。
翻訳元: https://meterpreter.org/the-typosquat-trap-why-90-of-parked-domains-now-redirect-to-malware/
