期限切れドメイン販売の仕組み悪用、不正リダイレクト行うページ多数発見(カスペルスキー) | ScanNetSecurity
2022.05.25(水)

期限切れドメイン販売の仕組み悪用、不正リダイレクト行うページ多数発見(カスペルスキー)

株式会社カスペルスキーは7月22日、ドメイン販売情報を示すオークションサイトのページから悪意あるWebサイトへリダイレクトする手口が発見されたと同社のblogで報告した。

国際 海外情報
株式会社カスペルスキーは7月22日、ドメイン販売情報を示すオークションサイトのページから悪意あるWebサイトへリダイレクトする手口が発見されたと同社のblogで報告した。

企業が利用していたドメインを手放した際、専門業者が該当ドメインを買い取りオークションサイトで販売することがあり、ドメイン契約が切れたWebサイトにアクセスすると、当該ドメインが販売中である旨を表示するオークションサイトの特別ページにリダイレクトされるが、この仕組みを悪用するサイバー犯罪者の手口を発見したという。

同社のリサーチャーがある人気オンラインゲームのアシスタントツールを調査していた際に、当該ツールが意図せぬWebサイトへ誘導することに気付き確認したところ、プログラムのアップデートを取得するためにアクセスするWebサイトが不正なものであることが判明。さらに調査したところ、Webサイトのオーナーはドメイン使用料の支払いを止めており、当該ドメインがオークションサイトで売り出されていたことが判明、本来は、同Webサイトにアクセスした際は当該ドメインが販売中であることを示すページにリダイレクトされるはずだが、不正なページへとリダイレクトされるようになっていたことを確認した。

同社によると、調査の中で不正なリダイレクトを行うページは1,000ほど発見したが、実数はさらに大きいと推測され。中にはmacOSに感染するトロイの木馬「Shlayer」をダウンロードさせるページもあったとのこと。不正なページに転送されるかどうかが一定ではなく、ある時点でロシアからアクセスして何も起こらなかったWebサイトに対しVPN経由でアクセスするとShlayerのダウンロードページに転送された場合もあり、問題を複雑化させている。

同社では、悪意あるリダイレクトには第三者の広告ネットワークのコンテンツを表示するモジュールの広告フィルタリングに問題があるか、またはモジュールにおける脆弱性が悪用された可能性を推測している。
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×