期限切れドメイン販売の仕組み悪用、不正リダイレクト行うページ多数発見(カスペルスキー) | ScanNetSecurity
2020.08.04(火)

期限切れドメイン販売の仕組み悪用、不正リダイレクト行うページ多数発見(カスペルスキー)

株式会社カスペルスキーは7月22日、ドメイン販売情報を示すオークションサイトのページから悪意あるWebサイトへリダイレクトする手口が発見されたと同社のblogで報告した。

国際 海外情報
株式会社カスペルスキーは7月22日、ドメイン販売情報を示すオークションサイトのページから悪意あるWebサイトへリダイレクトする手口が発見されたと同社のblogで報告した。

企業が利用していたドメインを手放した際、専門業者が該当ドメインを買い取りオークションサイトで販売することがあり、ドメイン契約が切れたWebサイトにアクセスすると、当該ドメインが販売中である旨を表示するオークションサイトの特別ページにリダイレクトされるが、この仕組みを悪用するサイバー犯罪者の手口を発見したという。

同社のリサーチャーがある人気オンラインゲームのアシスタントツールを調査していた際に、当該ツールが意図せぬWebサイトへ誘導することに気付き確認したところ、プログラムのアップデートを取得するためにアクセスするWebサイトが不正なものであることが判明。さらに調査したところ、Webサイトのオーナーはドメイン使用料の支払いを止めており、当該ドメインがオークションサイトで売り出されていたことが判明、本来は、同Webサイトにアクセスした際は当該ドメインが販売中であることを示すページにリダイレクトされるはずだが、不正なページへとリダイレクトされるようになっていたことを確認した。

同社によると、調査の中で不正なリダイレクトを行うページは1,000ほど発見したが、実数はさらに大きいと推測され。中にはmacOSに感染するトロイの木馬「Shlayer」をダウンロードさせるページもあったとのこと。不正なページに転送されるかどうかが一定ではなく、ある時点でロシアからアクセスして何も起こらなかったWebサイトに対しVPN経由でアクセスするとShlayerのダウンロードページに転送された場合もあり、問題を複雑化させている。

同社では、悪意あるリダイレクトには第三者の広告ネットワークのコンテンツを表示するモジュールの広告フィルタリングに問題があるか、またはモジュールにおける脆弱性が悪用された可能性を推測している。
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×