セキュリティ研究者は、DNSインフラにおける重大な見落としを通じて、120以上のドメインにわたり悪意あるプッシュ通知を展開する高度なアフィリエイト広告運用を発見しました。
不適切なネームサーバー委任が設定された放棄ドメインを悪用する「Sitting Ducks攻撃」と呼ばれる手法により、研究者は最も大規模な欺瞞的広告キャンペーンの一つを直接可視化し、15日間にわたる5,700万件のログを分析しました。
攻撃ベクトルの中心はレイム・デリゲーション(lame delegation)で、ドメインが当該ドメインの実レコードを持たない外部ネームサーバーを指してしまうDNS設定上の脆弱性です。
これらのネームサーバーがクエリを解決できない場合、そのドメインは事実上、未所有の領域となります。DNSプロバイダーのレベルでこれらの孤児化したドメインを単に登録するだけで、研究者は完全な制御を獲得しました。彼らは脅威アクターのインフラに向けられたすべてのトラフィックを傍受しました。
制御を掌握してから数時間以内に、研究チームのサーバーには被害者デバイスからのリクエストが殺到し、デバイスモデル、ISP、購読タイムスタンプ、行動追跡データなどの詳細情報が送信されていました。
規模は驚異的で、あるドメインは毎秒30メガバイトのログを生成しました。観測対象を侵害された120ドメインに拡大すると、最小限の暗号化やセキュリティ制御しかない、主に平文で動作するグローバルなプッシュ通知マネタイズ・ネットワークが明らかになりました。
このインフラは、運用セキュリティが驚くほど不十分であることを示しています。追跡データ、通知、ログはすべて暗号化されずに送信され、難読化のためにBase64エンコード文字列が使われているだけでした。
研究者は通知コンテンツに60以上の言語が存在することを記録しており、アジア地域が全トラフィックの50%を占め、特にバングラデシュ、インド、インドネシア、パキスタンなどの南アジア諸国が標的となっていました。
通知は高度なソーシャルエンジニアリングを用い、欺瞞、恐怖、金銭的インセンティブを利用してクリックを誘導していました。
誘い文句は、Bradesco、Sparkasse、MasterCard、地域の決済サービスなど、正規の金融機関になりすますものがありました。一方で、地政学的出来事や著名人のスキャンダルを悪用するものもありました。
収益分析では、経済的な成立性に懸念が示されました。このプラットフォームはCPM(Cost Per Mile)およびCPC(Cost Per Click)モデルで運用され、監視対象ドメインから1日あたり約350ドルを生み出していました。
CPCベースの広告が生み出した収益は、15日間でわずか1.80ドルでした。広告単価は一様に低く、ターゲティングの高度さや被害者の地理にかかわらず、平均で5セント未満でした。
注目すべきことに、広告主が提供する不正防止機能は価格差にほとんど反映されておらず、その有効性への不信、またはオーディエンス品質への無関心を示唆しています。
実際のクリック率は壊滅的に低く、プラットフォーム自身の推定では1/175から1/60,000の範囲で、観測された率は1/80,000に達しました。ログに記録された5,700万回の表示のうち、実際のユーザークリックは630回にとどまりました。
これは、この運用が真のオーディエンスターゲティングよりも、表示回数の水増しや偶発的なエンゲージメントを優先していたことを示唆しており、アフィリエイト広告主が欺瞞的なプラットフォーム慣行を不満として挙げる理由を説明する可能性があります。
このエコシステムは、複数の商用サービスに責任が分散しています。画像ホスティング、ユーザー追跡、通知ルーティング、決済処理が別々のプロバイダーに分断されており、その多くはグレーマーケットの運用に対応しています。
この分割は説明責任を曖昧にしつつ、大規模運用を可能にします。プラットフォームが公開するコンプライアンス方針は露骨に欺瞞的なメッセージを拒否しています。しかし研究者は、マルウェア感染、システム脆弱性、アカウント侵害を主張する通知が数百万件存在することを観測しており、取り締まりの不備を示しています。
この研究は、ドメインインフラ管理における体系的な脆弱性を浮き彫りにしています。同様のDNS誤設定手法により、正規組織に対する継続的なドメインハイジャックが日々発生しています。
脅威は詐欺配布にとどまらず、Vacant Viperを含む他の脅威アクターも同一の手法を用いて、マルウェア配布システムや認証情報窃取インフラを展開しています。
Infobloxの研究者は、放棄ドメインを取得する前にDNSプロバイダーへ責任ある開示を行いました。それでも、世界中で数千の脆弱なドメインが未取得のまま残り、悪用可能な状態にあります。
翻訳元: https://cyberpress.org/name-server-delegation-flaw-hacker-domain-access/