2011年7月上旬、「米Googleは、同社の検索エンジンの検索結果から、セカンドレベルドメイン(SLD)『.co.cc』の下にある Webサイトをすべて削除した」との報道がなされました。しかし、「巧妙化するセキュリティ上の脅威からユーザを守る」方法として、この Google の取った措置が適切だったのかどうかについては、議論の余地がありそうです。 トレンドマイクロでは、不正なドメインとそれらのドメインを用いたサイバー犯罪について調査および監視を行っており、主要なサイバー犯罪者たちは、「.co.cc」は既に利用しておらず、現在は、「.rr.nu」や「.co.tv」といった SLDを用いていることを確認しています。このような SLDの乱用は頻繁に確認されており、急速に拡大しています。彼らは、ある SLDから別のSLDへとユーザを誘導しWebサイトを介した攻撃を仕掛けますが、その中でも特にこの手口を、偽セキュリティソフト型不正プログラム「FAKEAV」をダウンロードさせるために用います。彼らは、「SEOポイズニング」の手法により不正な Webサイトが検索結果の上位に表示されるよう悪質に操作し、表示された不正なリンクから偽セキュリティソフト型不正プログラム「FAKEAV」がダウンロードされるページへとユーザを誘導します。 トレンドマイクロでは、不正なURLが以下のような複数のSLDの下にあることを確認しています。このことを考慮すると、「.co.cc」ドメインだけをブロックすることは、短期的な「応急処置」にすぎないことは明らかです。 また、今日のSEOポイズニング攻撃で確認できる感染の連鎖の典型例を見てみると、大抵の場合、不正なSLDは、ユーザが検索結果から誘導される最初の不正なWebページからの別のページへの誘導、そしてそこからまた別のページへの誘導と、異なるページへの4回目の誘導まで用いられ、検索結果に表示されるURLに用いられることはありません。つまり、検索エンジンの上位に表示されることだけを目的にして無数に作成された「入り口」のページに「.co.cc」が用いられることはほとんどありません。こうしたことから、このドメインをブロックしても意味のないことだといえるでしょう。 これに加え、6月中旬、「インターネットのIPアドレスやドメイン名など管理する『ICANN』は、制限なしに近い新たなトップレベルドメイン(TLD)の追加を決定した」との報告がなされていますが、この決定により、上述の「.co.cc」のようなドメイン名をめぐる問題は、非常に近い将来、さらに複雑になると考えられます。また、ICANN は、ユーザからの要求を受けてドメイン名の登録を行う機関「レジストラ」になることを希望する企業や団体に、認定料として一定の金額の支払いを求めています。これは、サイバー犯罪集団に、この仕組みを利用してこうした企業や団体をだまし、金銭を得る「資金洗浄」を促し、それと同時に、完全に不正なTLDが利用できるような手立てを講じているようなものです。 ■それでは、こうした問題にどう対処すればいいのか? IPアドレスをブロックすれば、こうした問題に対処することができるのでしょうか。現在主流のインターネットプロトコル「IPv4」に代わるものとして導入され始めている「IPv6」は、事実上無限ともいえる膨大な数のアドレス空間を有しており、これらのIPアドレスをすべてブロックすることは到底不可能なことです。 それでは、不正プログラムのブロックに注力すればいいのでしょうか。現在、不正プログラムの数は、毎年増加の一途をたどっており、特に「Webからの脅威」は増大しています。こうした現状を踏まえ、セキュリティ業界全体として、「すべての不正プログラムを検出してそれら1つ1つに対応するのは非常に難しく、脅威への対策としては不十分」との見方がなされています。 ユーザにとって、このような脅威から身を守るための現実的で実用的な対策となるのは、インターネット上に存在するWeb、Eメール、ファイルなどのさまざまな脅威とその挙動、出所、関連性を突き止め、総合的なセキュリティ対策をクラウドから提供する「Trend Micro Smart Protection Network」のようなセキュリティソリューションです。この Trend Micro Smart Protection Network には「スマートフィードバック」という機能が備わっており、不正URL、不正プログラム、不正プログラムの挙動など、トレンドマイクロ製品が発見した最新の脅威に関する情報をクラウドにある Trend Micro Smart Protection Network に自動的にフィードバックします。そして、各ユーザからフィードバックされた情報を基にレピュテーションデータベースが更新され、発見された新しい脅威へのセキュリティ対策を日本国内、そして世界中のすべてのトレンドマイクロユーザに迅速に提供することができます。 さらに、Googleはサイバー犯罪者の攻撃からユーザを守るために現実的で長期的な対策を講ずることが可能だと考えます。それは、「.tv」や「.cc」といったTLDのレジストラと協力し、疑わしい者が登録できないようにするような仕組みを構築することではないでしょうか。例えば、同社の検索エンジンを介して世界中で膨大な数の検索がなされるため、この大きな影響力を用いてレジストラにプレッシャーを与え、不正活動に利用されている SLD を削除させることは十分可能なことです。サイバー犯罪者は、SLDを次々と変え、ユーザを不正な Webサイトに誘導するため、レジストラ自らが不正なSLDを削除するほうが、ユーザに特定のドメインへのアクセスを禁止するよりずっと効果的だといえます。また、特定のドメインへのアクセスを禁止することは、このドメインを正規の目的で使用している人たちにとって思いがけない不利益ともなります。 ※同記事はトレンドマイクロ株式会社による「セキュリティブログ」の転載記事である。
【テクニカルレポート】Macユーザを襲った「Flashback」とは?……トレンドマイクロ セキュリティブログ 2012年4月21日 Apple は、2012年4月12日、Mac OS X を狙った不正プログラム…
