コンボスクワッティングに最もよく使われるキーワードは「Support」
エグゼクティブサマリー
サイバースクワッティング(ドメイン不法占拠、URL ハイジャックとも呼ばれます)は、フィッシングキャンペーンや、アイデンティティの窃盗、マルウェアのインストール試行時によく使用されます。
コンボスクワッティングは、アクティブドメインとクリックスルーの両方の数についてタイポスクワッティングよりも多くなっているため、今日のサイバースクワッティングの中で最大の脅威となっています。
Akamai は、グローバル DNS トラフィックと内部の悪性ドメインリストを分析して、コンボスクワッティングによく使われるキーワードを特定しました。
Akamai は、コンボスクワッティングに最もよく使われる 50 のキーワードをまとめました。
はじめに
攻撃者は、ブランドの Web サイトを日々模倣しています。現実世界では、攻撃はなかなか成功しません。たとえば、重要な物理的建造物を乗っ取るのはかなり困難です。ところがオンラインでは、ドメイン名の模倣を含め、巧みに設計された類似サイトを運営できます。
多くの場合、模倣された Web サイトは本物のブランドのドメインによく似たドメイン名でホストされています。これをサイバースクワッティングされたドメインと呼びます。
Akamai が悪性ドメインを分析した結果、今日のサイバースクワッティングの中で最大の脅威はコンボスクワッティングであることがわかりました。この投稿では、DNS トラフィックでコンボスクワッティングを検知する方法と、攻撃者が組織や個人を欺くためにコンボスクワッティングでよく使っているキーワードをご紹介します。
サイバースクワッティングとは?
サイバースクワッティングされたドメインは、登録されたドメイン名です。攻撃者が、所有していないブランドの営業権や名称から利益を得るために使用します。サイバースクワッティングは、ランサムウェアのインストール(マルバタイジングなどを通じて)や、フィッシング攻撃、他者のアイデンティティの盗み取りを試行するキャンペーンにおいて、成功要因と見なされることがよくあります。
サイバースクワッティングのバリエーション
世の中には さまざまなタイプのサイバースクワッティング があります。表 1 は、架空のブランド「safebank[.]com」を使用してタイプの相違をまとめたものです。
バリエーション |
説明 |
safebank[.]com の例 |
|---|---|---|
コンボスクワッティング |
ブランドのドメインにキーワードを追加 |
safebank-security[.]com |
タイポスクワッティング |
文字の追加、削除、置き換え |
safebqnk[.]com |
ビットスクワッティング |
ランダムな ASCII ビット反転 |
sagebank[.]com |
IDN ホモグラフ |
類似した文字を使用 |
sǎfebank[.]com |
TLD スクワッティング |
トップレベルドメイン(TLD)の置き換え |
safebank[.]co |
サウンドスクワッティング |
同音異義語を使用 |
savebank[.]com |
ドットスクワッティング |
1 つ以上のドットを挿入 |
sa.febank[.]com |
表 1:サイバースクワッティングのバリエーション
これらのバリエーションのうち、ドットスクワッティングについてもう少し詳しくご説明します。既存の文献を調査しても、ドットスクワッティングに関する言及を見つけることはできませんでした。しかし、Akamai の中では、それが存在する根拠となるデータが十分に確認されています。当社のチーム内ではこれを「ドットスクワッティング」と名付けましたが、わかりやすい名前なのでここでも使用しました。
バリエーション間の関係
スクワッティングのバリエーションの中には重複する部分もあります。特に、ビットスクワッティングとタイポスクワッティングがそうです。その証拠と言えるのが、上記のビットスクワッティングの例です。QWERTY キーボードでは「g」が「f」の隣にあるため、この例はタイポスクワッティングと見なすこともできるのです。
スクワッティングのバリエーションは組み合わせることもできます。複数のバリエーションを 1 つのドメイン名内で組み合わせて、たとえば「 safebank-security[.]co」とすることもできるのです。この例は、コンボスクワッティングと TLD スクワッティングの組み合わせと見なされます。
世の中には、表 1 に挙がっていないサイバースクワッティングもあります。また、このような攻撃ベクトルは進化する傾向にあるため、将来的にはバリエーションが増加する可能性があります。
サイバースクワッティングの収益化
サイバースクワッティングによる経済的損害と影響は、かなり前から存在していますが、今も組織と個人の両方にとって大きな脅威となっています。
この用語は、より身近な場面でもよく使われています。この分野で一般的な手法は ドメイン名ウェアハウジング や ドメイン名フロントランニングです。たとえば、 coke[.]net (TLD スクワッティング)を購入した人が、Coca-Cola 社に売りつけて膨大な利益を得ようとするケースが該当します。もう 1 つよく見られる収益化タイプが、ヒットを盗むアフィリエイトマーケティングです。たとえば、 payypal[.]com と登録し、照会コードを通じて訪問者を正規の Web サイトへとリダイレクトするケースです。このような試みは多数行われており、成功率も高くなっています。過去の成功事例を受けて、米国の反サイバースクワッティング消費者保護法(ACPA)など、さまざまな法規制が施行されています。
サイバースクワッティングの成功例
2023 年、Reddit は高度な標的型フィッシングキャンペーンの被害者となりました。この攻撃には、同社のイントラネットゲートウェイの動作を複製した Web サイトが関与していました。この Web サイトはサイバースクワッティングされたドメインでホストされており、その点は Reddit のセキュリティインシデント対応で暗に示されています。攻撃者は、従業員や広告主の制限された情報のアクセス権を獲得しました。
Facebook は 2011 年と被害者になりました。 単純なスペルミスから作成された 100 を超える類似ドメイン名を使用されたのです。その後、Facebook には 280 万ドル近い損害賠償金が支払われました。
消費者も直接標的になることがあります。2022 年 10 月に、BleepingComputer から 大規模なタイポスクワッティングキャンペーン について報告がありました。このキャンペーンの目的は、マルウェアに感染したアプリをインストールさせることです。被害者はキーロガーやマルウェアに感染し、銀行口座や 暗号資産(仮想通貨)ウォレットから認証情報が盗まれました。
コンボスクワッティングの浸透
当社の 2022 年の分析では、一意のドメイン名について、最もよく確認されたサイバースクワッティングはコンボスクワッティングでした。言い換えれば、攻撃者が、攻撃ベクトルの一部として、他のタイプのサイバースクワッティングよりもコンボスクワッティングを頻繁に使用しているということです。
また、DNS クエリーを最も生成しているのもコンボスクワッティングのようでした。これらのクエリーの 1 つ 1 つが、悪性ドメインにアクセスする潜在的な被害者を生むことになります。
この 2 点から、当社の分析ではコンボスクワッティングをサイバースクワッティングの最大の脅威と見なしています。
注目を集めているのはタイポスクワッティング
当社チームが得た次の知見は、コンボスクワッティングに特に注目した 2017 年の 大規模調査 の結果と一致しています:「ドメインのコンボスクワッティングは、ドメインのタイポスクワッティングの 100 倍は広まっている」。
これに反し、調査や、ブログ、雑誌などで最も注目されているバリエーションはタイポスクワッティングです。コンボスクワッティングではないのです。リサーチャーとして、タイポスクワッティングが注目されている理由を裏付けるデータを見つけることはできませんでした。私たちが確認したデータは、タイポスクワッティングが注目を集めることでコンボスクワッティングが見過ごされがちになり、攻撃者が喜んでいると確信させるものばかりです。
コンボスクワッティングのキーワード
思い出してください。コンボスクワッティングはサイバースクワッティングのバリエーションであり、ブランドのドメインにキーワードを追加するものです。先ほどの「 safebank[.]com」には、次のような例もあります。
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
では、 キーワードはどのように定義するのでしょうか?上記の例では、「members」、「my」、「login」などのキーワードがブランド「safebank」にハイフンでつなげられているか(login-safebank)、左右どちらかに直接連結されています(mysafebank)。
キーワードの目的は、表 2 に示すように、特定の感情を呼び出すことにあります。
キーワード |
感情 |
|---|---|
Verification、account、login |
安全、権威 |
Now、alert |
緊急 |
Free、promo |
見逃すことへの不安 |
表 2:キーワードの例とそれらが呼び起こす感情
「ブランド名 = 正当」とは限らない
ブランド名(safebank)があると、正当なリンクに見えてしまいます。当然ながら、リンクにブランド名が含まれているからといって、安全性が確保されるわけではありません。商標登録されたブランド名を含むドメイン名の登録を阻止することは、誰にもできないのです。攻撃者の目的が、理性よりも、感情的な反応を素早く誘発することなのは明らかでしょう。ブランドとキーワードの組み合わせは、この目的を達成するための賢い方法のようです。
では、Akamai はこの知識をどのように活用して人々を保護しているのでしょうか?
サイバーセキュリティ・リサーチ・チームとして、私たちは最も強力な武器「データ」を持っています。当社には、悪性と識別した膨大なドメインリストがあります。このリストは、お客様と共有し、インターネットを閲覧するエンドユーザーの保護に役立てられています。さらに、DNS トラフィックデータを使用し、 新たに見つかったドメインからキーワードの傾向を確認することもできます。これには、良性と悪性の両方のドメインが含まれます。
データ主導型のキーワード検出
注意していただきたいのは、この分析に使用したデータセットに含まれているのは 悪性フィッシングドメインのみという点です。これにより、攻撃者が現在積極的に使用しているキーワードのみに集中できました。また、正確性を期すため、複数の内部プロセスを通じ、あらゆる入力にフィッシングを示すフラグを付けています。このセクションでは、一般的なキーワードのリストをまとめたプロセスを概説します。
分析を開始
キーワードがブランド名にハイフンでつなげられていたり、直接連結されていたりすることをご説明しました。
前者のキーワードは簡単に見つかります。ハイフンはもともと区切り文字なので、ドメイン名をハイフンで分割するだけです。例:「 amazon-e[.]com」というドメインがあるとします。ハイフンは、何がキーワードかを判断する決定的証拠になります。つまり、ブランド名が「 amazon 」で、キーワードが「 e」です。とてもシンプルですね。
一方、直接連結されたキーワードはかなり複雑です。言語や、ローカライズされたブランド、さらには Web 閲覧行動など、さまざまな知識が必要です。キーワードが重複していることもよくあります。
では、「 amazone[.]com」を例にご説明します。このドメインでは、ブランド名が「 Ama 」(イタリアの革製スニーカーメーカー)なのか、「 Amaz 」(ギリシャの女性向け服飾デザイナー)なのか、「 Amazon 」(米国のテクノロジー企業)なのかわかりません。キーワードには、「 zone」、「 one」、「 e」が考えられ、どれもあり得ます。
ドメインをフィルタリング
ここでは、タスクを大幅にシンプル化します。分析対象を、抽出しやすい最初のタイプのキーワード(ハイフンを含むドメイン名)に限定します。データ量が膨大なため、このサブセットの分布はデータセット全体の分布に従うことになります。
簡単に言うと、最初のプロセスには次の 4 つの主要ステップが含まれていました。
フィッシングリストからドメイン名を取得して入力します
TLD を除きます
残った一般的なブランド名のリストをフィルタリングします
ハイフンで分割します
この 4 つのステップが完了したら、結果として得られたすべての単語を大きなリストにまとめます。そして、(ブランド名を削除して)このリストをさらに絞り込み、キーワードのみを残しました。最後に、すべてのキーワードを集め、数えます。
コンボスクワッティングに最もよく使われる 50 のキーワード
前述のフィルタリングプロセスを経て、人気ブランドを標的にしたコンボスクワッティングに最もよく使われるキーワードを絞りました。どれも、過去にフィッシングドメインとして確認されているため、このリストは妥当だと確信しています。
表 3 に、このプロセスで抽出されたコンボスクワッティングのキーワード上位 10 個をランク順にまとめました。完全な 上位 50 個のリスト は当社の GitHub で公開しています。
ランク |
キーワード |
|---|---|
1 |
support |
2 |
com |
3 |
login |
4 |
help |
5 |
secure |
6 |
www |
7 |
account |
8 |
app |
9 |
verify |
10 |
service |
表 3:コンボスクワッティングの人気キーワード上位 10
この表から、攻撃者がどのキーワードを悪用して被害者を欺いているのかが明確にわかります。お気づきのとおり、コンボスクワッティングに最もよく使われているキーワードは「support」です。これは、正当なサポートページがサイト内のポータルになっていることが多いためです。したがって、URL は「support[.]company-name[.]com」のようになります。
驚くべき結果
意外だったのが「com」です。これは上位にランキングされるとは思いもしなかったキーワードです。ご紹介したデータ主導型のアプローチと膨大なデータセットがなければ気付かなかったでしょう。例として、「 accountpaypal-com[.]info 」や「 com-apple[.]co」があります。
もう 1 つは「jp」、日本の TLD です。例として、「 apple1-jp[.]com 」や「 jp-rakuten[.]com」があります。このリストには、「US」、「UK」、「FR」などの TLD コードのキーワードもいくつかあります。これは、その国が最も標的になっていることを示しているのかもしれません。
結論
サイバースクワッティングの応用は潜在的に非常に多く、標的となった被害者は個人の消費者から大企業まで多岐にわたります。このため、サイバースクワッティングによる損害全体を定量化することが困難になっています。さらに、サイバースクワッティングキャンペーンの報告は実際よりかなり少ないと見ています。大企業が影響を受けた場合しか報道されない状況なのです。
大規模でも小規模でも、これは利益の出やすいインシデントです。そのため、このような分析を行い、攻撃者の動向について理解を深めることが重要です。
Akamai は、このような脅威を継続的に監視し、さらなる分析を行って、その結果をコミュニティと共有していきます。最新のセキュリティリサーチ結果を把握するために、 Twitter で Akamai をフォローしてください。
