はじめに:脅威の変貌
かつては比較的無害な収益化戦略であったドメインパーキングは、過去10年でサイバー犯罪の洗練されたベクターへと劇的に変化しました。現代のパーキングエコシステムに関する新たな調査によると、駐車ドメインへの訪問者の90%以上が悪意のあるコンテンツ、詐欺、またはフィッシング攻撃に遭遇しているという驚くべき現実が明らかになりました。これはわずか11年前には5%未満であった悪意のあるコンテンツの割合と比較して、顕著な逆転現象です。
駐車ドメインがサイバー犯罪の標的となるメカニズム
単なる広告リポジトリとして見過ごされてきた駐車ドメインは、今や脅威アクターにとっての主要な狩場となっています。ドメイン所有者、トラフィック分配システム、広告ネットワークからなる複雑なエコシステムを悪用しているのです。この変化は、サイバー犯罪者による意図的な悪用と、パーキング業界における合法的なビジネス慣行が作り出した意図せぬ脆弱性の両方を反映しています。
駐車ドメインからの脅威は、「そっくりドメイン」や「よくある誤入力」から始まります。調査中に「ic3.gov」(FBIのインターネット犯罪苦情センター)の代わりに誤って「ic3.org」を訪問したところ、即座に詐欺的な「ドライブサブスクリプション期限切れ」ページにリダイレクトされた事例が報告されています。このようなドメインは、情報窃取マルウェアやトロイの木馬を配信する可能性も秘めています。
さらに危険なのは、駐車ドメインの二面性です。セキュリティツールやVPNサービス経由でスキャンされると無害なパーキングページを表示し、誤った安心感を与えます。しかし、居住用IPアドレスからアクセスする一般ユーザーは全く異なる結果に遭遇し、脅威アクターが制御するトラフィック分配システムを通じて、最終的に悪意のあるコンテンツへと誘導されてしまうのです。
「ダイレクトサーチ」パーキングの役割と収益モデル
この脅威エコシステムの中心には、「ダイレクトサーチ」または「ゼロクリックパーキング」と呼ばれる収益化モデルがあります。ドメイン所有者は、合法的な広告取引所と同様に、トラフィックがリアルタイム入札を通じて広告主に販売されるシステムに参加します。このシステムは、悪意のあるアクターにとって収益性の高いサプライチェーンを生み出しています。
ユーザーがドメイン名を入力すると、デバイスのフィンガープリントとプロファイリングを行う複数の仲介業者を経由し、最終的なランディングページに到達します。単一のドメインが複数の広告ネットワークを通過する可能性があり、各層がリダイレクトチェーンに別のホップを追加し、説明責任を曖昧にしています。ドメイン所有者、パーキングプラットフォーム、最終広告主間の連携不足は、犯罪が最小限の結果で繁栄することを可能にする不透明性を作り出しています。
脅威アクターの詳細:巧妙化する手口
調査では、これまで報告されていなかった3つの大規模な脅威アクターが特定されました。これらは数千のそっくりドメインを用いて異なるターゲット層を狙っています。
- アクター1: カスタムネームサーバーを介して約3,000のそっくりドメイン(例:gmai.com)を運用しています。「chatterjamtagbirdfile[.]monster」のようなサイトは、Tedyマルウェアを配布し、メールの誤誘導やビジネスメール詐欺キャンペーンを通じて個人情報を積極的に収集しています。
- アクター2: 「ダブルファストフラックス」という高度な技術を使用し、権威あるネームサーバーとIPアドレスの両方を急速にローテーションさせて検出を回避しています。約80,000のドメインを保有し、成人向けコンテンツ、ゲームプラットフォーム、違法サービスを標的としています。
- アクター3: GoDaddyの正規ネームサーバーと一文字違いの「domaincntrol.com」を運用しています。DNS設定における無邪気な誤入力や、古いリンクを含む期限切れドメインを悪用し、悪意のあるインフラストラクチャを通じてトラフィックをルーティングしています。最近では、Cloudflare Secure DNSユーザーに対する標的型能力も追加し、特定のユーザー層を狙う洗練度を示しています。
Googleの政策変更が問題に拍車をかける
Googleの最近の政策変更により、広告主はパーキングトラフィックへのオプトインが求められるようになりました。これにより、ドメイン投資家は意図せずダイレクトサーチパーキングモデルへと移行し、問題に拍車をかけています。Netflix、Youtube、Google、Pornhub、そして漫画配信サイトNewtokiなどが最も一般的なターゲットとなっています。
従来の広告収益が減少する中、パーキングプラットフォームはダイレクトサーチを代替収益源として積極的に推奨してきました。これにより、ユーザーが悪意のあるコンテンツにさらされる条件が整ってしまっています。悪質な広告主が悪意のあるコンテンツを配信する一方で、ドメインポートフォリオ所有者はユーザーのプロファイリングと選択的なトラフィックルーティングに積極的に参加しており、脅威ランドスケープにおけるその役割は過小評価されがちです。
結論:透明性と協調行動の必要性
ダイレクトサーチパーキングの採用が加速するにつれて、インターネットユーザーへのリスクは増大し続け、単純なタイプミスさえも壊滅的な結果を招く可能性があります。この脅威に対処するためには、パーキングエコシステム全体におけるより大きな透明性、そしてプラットフォーム運営者、ドメインレジストラ、セキュリティ研究者による協調行動が不可欠です。