- ハッカーは .arpa ドメインを悪用してフィッシング攻撃を効果的に隠蔽している
- フィッシングメールは信頼できるブランドになりすまし、ユーザーに認証情報を明かさせる
- IPv6 アドレス範囲により、攻撃者は悪質な .arpa サブドメインを制御できる
ウェブサイトではなく本来は重要なネットワーク機能に使用されるインターネットの一部である .arpa ドメインを悪用する新しいタイプのフィッシング攻撃が目撃されている。
.com や .net などのより一般的なドメインと異なり、.arpa はコンピュータが IP アドレスをドメイン名にマッチさせるのを支援します。これはリバース DNS と呼ばれるプロセスです。
しかし、Infoblox Threat Intel の新しい研究によると、攻撃者は現在この空間を使用してフィッシング ページをホストし、標準的なセキュリティ チェックを回避しているという。
.arpa の悪用がなぜ深刻な脅威なのか
「攻撃者が .arpa を悪用するのを見たとき、彼らはインターネットの極めて中心を兵器化しています」と、Infoblox Threat Intel の副社長である Dr. Renée Burton は述べた。
彼女は、.arpa はウェブサイトをホストすることは想定されていないため、多くのセキュリティ システムはそれを密に監視していないと説明した。それを悪質なページを配信するために使用することで、攻撃者は既知のドメイン名または一般的な URL パターンに依存する防御を回避できる。
攻撃は IPv6、最も新しいタイプのインターネット アドレスで機能します。サイバー犯罪者はアドレスの範囲を制御し、それをフィッシング ページをホストするサーバーにポイントするように設定します。
場合によっては、これらのアドレスは Cloudflare などのサービスを通じて管理され、悪質なコンテンツの実際の場所を隠しています。
一部のDNS プロバイダーは、ユーザーが web ホスティング用に想定されていない方法で .arpa ドメインを管理することさえ許可しています。
これにより、攻撃者は通常はウェブサイトにつながらないエントリに有害なコンテンツを添付できます。
この悪用には無料の IPv6 トンネルも関係しており、これらのトンネル自体がデータ送信に使用されていなくても、大規模なアドレス範囲への管理者アクセスを提供します。
悪質なコンテンツはフィッシング メールを通じて配信されます。これは多くの場合、よく知られたブランドになりすまし、メッセージを合法的に見えるようにするために「無料ギフト」や賞品などの報酬を約束します。
ユーザーがメール内の画像またはリンクをクリックすると、ログイン情報またはその他の機密情報を取得する偽のウェブサイトにリダイレクトされます。
メールは餌として機能し、珍しい .arpa アドレスは背景に隠れているため、表示される URL は通常に見えます。
.arpa は DNS 操作に不可欠であるため、そのドメインが自動的にブロックされる可能性は低くなります。
攻撃者はランダムなサブドメインを追加することで、一意の検出困難なアドレスを作成し、セキュリティ システムがそれらを識別することを難しくしています。
この攻撃方法は、サイバー犯罪者が成功するためにソフトウェアの欠陥を悪用する必要がないことを示しています。
既存のインターネット メカニズムを創造的に転用することで、彼らはユーザーをだまして、一見合法的なチャネルを通じて認証情報を与えさせることができます。
Burton は、防御者は DNS インフラストラクチャを「攻撃者にとって高価値不動産」として扱い、悪用のすべての可能なポイントを監視する必要があると警告しています。
組織は、ファイアウォール ルールを厳しくし、本人確認保護ポリシーを実施し、攻撃が成功した場合にマルウェアを迅速に削除することで、リスクを軽減できます。
