概要:DNS設定の悪用によるハッカーインフラの可視化
Infobloxのセキュリティ研究者たちが、DNSの誤設定技術「lame nameserver delegation」を悪用し、数百万件に及ぶ悪意のあるプッシュ通知広告の傍受に成功しました。これにより、システムを直接侵害することなく、大規模なアフィリエイト広告運用の全容を把握しました。
脆弱性「Sitting Ducks」の活用
研究者たちは、脅威アクターによって放棄されたドメインを特定しました。これらのドメインは、「Sitting Ducks」と呼ばれる脆弱性を抱えており、外部ネームサーバーがドメイン情報を欠落している状態でした。この「lame delegation」を通じて放棄された悪意のあるプッシュ通知ネットワークのドメインを発見した研究者たちは、登録の必要なしにDNSプロバイダーでこれらのドメインを「要求」しました。
傍受と影響の規模
制御権を掌握してから1時間以内に、研究者のサーバーには被害デバイスからの大量のトラフィックが流れ込み、暗号化されていないデバイス情報、ユーザーメトリクス、広告データが送られました。彼らは1日で監視対象を1つのドメインから約120の誤設定されたドメインへと拡大し、毎秒30メガバイトのログを収集しました。
- 傍受データ量: 2週間にわたり5,700万件以上のログ
- 影響ドメイン数: 誤設定された約120ドメイン
- データ転送量: 毎秒30メガバイト
傍受されたデータからは、世界中で60以上の言語で欺瞞的なコンテンツを配信するプッシュ通知広告ネットワークの実態が明らかになりました。被害者は1日平均140件の通知を受け取っており、中には1年以上サービスに登録しているケースもありました。
標的と経済的実態
通知は、Bradesco、Sparkasse、MasterCard、Touch ‘n Go、GCashといった正当な金融機関を詐称するだけでなく、ギャンブル詐欺、偽のセキュリティ警告、成人向けコンテンツも宣伝していました。地理分析によると、トラフィックの50%は南アジア(特にバングラデシュ、インド、インドネシア、パキスタン)を標的としていました。
この大規模な運用にもかかわらず、その経済的効率は驚くほど低いものでした。脅威アクターがエンコードしたクリック率推定値は60,000回に1回に過ぎず、実際のクリック率は5,200万件の広告から約630クリックと、この悲惨な数字を裏付けるものでした。研究者たちは、監視されたドメインからの運営者の日収がわずか350ドルと推定しています。
セキュリティ上の教訓と推奨事項
この研究は、悪意のあるアクターと正当な組織の両方に影響を及ぼすDNS衛生の重大な不備を浮き彫りにしています。「Sitting Ducks」技術は、Vacant Viperのような脅威アクターによって、正規企業の休眠ドメインをハイジャックし、トラフィック配信システムを通じてマルウェア配布に悪用される事例も確認されています。
セキュリティ専門家は、lame delegationを伴う放棄されたドメインが「Sitting Ducks」となり、ドメイン所有者が侵害に気づかないまま、異なる悪意のあるキャンペーンのために繰り返し悪用される可能性があると警告しています。組織は、すべてのネームサーバー委任が正しく維持され、外部ネームサーバーが設定されたドメインの完全なレコードを持つように、DNS設定を監査する必要があると提言されています。