突如として予想外に親密な内容へと転じる会話を盗み聞きする誘惑に、誰が抗えるだろうか。Infoblox の専門家たちは、巨大なブラウザのプッシュ通知スキームにおけるDNS設定の壊滅的な「ドリフト」を観測したことで、意図せずしてそのような機会を手にした。この設定ミスは観測にとってあまりに好都合で、研究者のサーバーには、システムが世界中に配信したほぼすべての通知のコピーが、包括的な内部テレメトリとともに届き始めた。
問題のインフラは、表向きはパートナーに代わって「広告を配信する」商用アフィリエイトネットワークに属している。しかし実際には、これらのメッセージの内容は、欺瞞と侵入的な誘い文句を基盤とする業界の存在を示唆している。2週間の間に、調査員は5,700万件超のログイベントを収集し、広告そのもの、サービスコード更新の要求、クリックを含むユーザーの関与までを網羅した。
興味深いことに、アクセスは侵害でも従来型のAiTM(Adversary-in-the-Middle)傍受でも達成されていない。代わりに研究者は、歴史的に「Sitting Ducks」と呼ばれてきたDNSの組織的な脆弱性を突いた。要するに、あるドメインが外部DNSサーバーに委任されているものの、そのDNSサーバーは当該ドメインを認識しておらず、正しく応答するよう設定もされていない状態である。このような「不完全な委任(lame delegation)」では、第三者がDNSプロバイダーに接触し、正しいレコードを提示するだけでドメインを「主張」できてしまう場合がある。今回のケースでは、運用者が特定のレコード更新を怠っており、その見落としがインフラ全体にわたって体系的に存在していた。
当初、研究者はそのようなドメインを1つだけ傍受し、1時間もしないうちに被害端末からの膨大なリクエストの洪水に見舞われた。さらに誤設定された委任を特定することで、観測範囲を約120のドメインにまで拡大した。ピーク時には、彼らのインフラは毎秒最大30MBのログに襲われた。内容分析により、ユーザーがそもそもなぜこれらの「購読」に引っかかるのかが明らかになった。誘い文句は恐怖、希望、好奇心を利用し、しばしば著名ブランドを模倣していた。メッセージは銀行のアラート、「アカウントロック」通知、「ウイルス」警告、あるいは著名人や政治家のスキャンダルに関するクリックベイトを装っていた。これらの見出しは60以上の言語に及び、真に世界規模の到達範囲を示している。
このスパムの規模は驚異的で、平均的な購読者は1日あたり約140件の通知を受け取り、購読期間全体では合計約7,600件に達した。地理的な集中はアジアで特に顕著で、具体的にはバングラデシュ、インド、インドネシア、パキスタンが観測された活動の50%を占めていた。
逆説的だが、このコンテンツの奔流にもかかわらず、エンゲージメントはほぼ皆無だった。システム内部のCTR(クリック率)予測は屈辱的なほど低く、最も「成功」したケースでも175分の1に過ぎず、平均は約60,000分の1にとどまった。実データもこの暗い見通しを裏付けている。5,700万件のイベントのうちクリックは630件しか記録されず、比率は約80,000分の1だった。経済的に見れば、クリック課金モデルでは15日間でわずか1.80ドルにしかならない。収益はおそらくインプレッション課金モデルで維持されており、観測されたインフラの日次収益は概算で約350ドルと推定された。
特に憂慮すべき点は、平文で送信されていた技術テレメトリの量だった。ログには、OSバージョン、ハードウェアモデル、ISP情報、そしてプラットフォームが本物のユーザーと好奇心旺盛な研究者を区別するために用いる「不正対策」マーカーなど、被害者環境に関する網羅的なデータが含まれていた。これはプッシュネットワークの「内部の台所」を前例のない形で覗き込むことを可能にした。
著者らは、自分たちは受動的な観測者であり、第三者のDNSエラーによって生じたトラフィックを受け取っただけだと強調している。それでも本研究は、正当な企業に対して日常的に用いられている「不完全な委任」手法を痛烈に想起させる。そこでは攻撃者が放棄されたドメインを奪取し、機微な通信やトラフィックを傍受する。代表例がVacant Viper集団で、この手法でドメインを乗っ取り、悪性ペイロードの配布で悪名高い404TDSインフラを強化している。この特定のプッシュネットワークにはマルウェア配布の兆候は見られなかったものの、放置されたドメインがもたらす本質的リスクは依然として重大な脅威である。
翻訳元: https://meterpreter.org/eavesdropping-on-evil-how-a-dns-error-exposed-57-million-malicious-logs/
