偶発的だが被害件数は少なくない
スクワッティングでどの程度の被害が考えられるか。他の種類のスクワッティングを例に考えてみる。
サイバー攻撃としてのスクワッティングには、ビットスクワッティングのほかに、「サイバースクワッティング」や「タイポスクワッティング」がある(図2)。
サイバースクワッティングは企業が欲しがりそうなドメイン名を先に入手して、高く売りつける手口である。サイバー攻撃というよりも、人気商品を買い占める原始的な転売手口といえる。インターネットの商業利用が始まった黎明期に、社会問題化したことがあった。現在はドメイン名の申請時に、レジストラーが法人登記簿の確認を求めるなどの審査手続きが導入され、サイバースクワッティングの問題は沈静化している。
もう一つのタイポスクワッティングは、ユーザーがURL入力や検索の際にタイプミスすることを利用する攻撃である。「google.com」と入力すべきところを「goggle.com」とタイプしてしまうことは珍しくない。攻撃側は標的となるWebサイトや企業とそっくりなドメイン名(ドッペルゲンガードメインと呼ぶ)を取得して、ユーザーを攻撃者のサーバーに誘い込む。ビットスクワッティングと同様、Webアクセスとメール送信で2パターンの攻撃手法がある。
Webアクセスに対しては、フィッシングサイトでIDやパスワード、クレジットカード番号を盗み出したりする。メール送信については、ドッペルゲンガードメインのメールサーバーで待ち受けてメール内容を盗み見たりする。
特にメール窃取は巧妙な攻撃手法といえる。2011年9月6日、米国のセキュリティコンサルティング会社であるゴダイ・グループが衝撃的なホワイトペーパーを公表した。同社はフォーチュン500の約30%に当たる151社のドッペルゲンガードメインを取得したメールサーバーを6カ月にわたって運用するテストを実施した。その結果、約12万通、容量にして20Gバイトものメールを収集できたという。メール内容には、ネットワーク構成情報、従業員の個人情報や企業機密、ユーザー名とパスワードなどが含まれていたと報告している。
まずはオーソドックスな対策
上記のようにタイポスクワッティングはユーザー自身の間違いが発端だが、ビットスクワッティングはハードウエアが発生させたエラーがきっかけになる。つまり、「ユーザー自身が気を付ける」というアプローチでは回避できない。またビットスクワッティングは手口が報告された段階である。現時点で実施できるビットスクワッティング対策は、オーソドックスな手法しかないと筆者は考える。
例えばビットスクワッティングによるフィッシング対策では、アドレスバーに表示されるドメイン名をしっかりチェックするようユーザーに呼びかける。重要情報を扱うサイトでは、ユーザーごとにあらかじめ設定したアイコンを表示させる機能を実装して、ユーザーにフィッシングサイトか否かを気付きやすくするのも一つの手だ(図3)。
メール窃取に対しては、現時点ではあまり打つ手がない。せいぜい、「@」の前の文字列(アカウント)を推測しづらくして、メール送信者を特定しづらくする程度だ。推測しやすいアカウントを使っていると、メール窃取時のリスクが高くなる。
また、タイポスクワッティング対策は「Pre-Register」と呼ぶ方法がでよく使われるが、ビットスクワッティング対策としてはあまり有効ではなさそうだ。
Pre-Registerではドッペルゲンガードメインになり得るドメイン名を予想して、攻撃者の機先を制してドメインを取得しておくというもの。米グーグルの場合は「www.gooogle.com」「www.goolge.com」「www.gogle.com」「www.gppgle.com」といったドメインを取得済みで、これらのWebサイトにアクセスすると「www.google.com」や「www.google.co.jp」にリダイレクトされる。
ところがビットスクワッティングの場合、ランダムに発生するビットエラーで変化してしまうドメイン名が予想しづらい。Pre-Registerで押さえるべきドメイン名が膨大になってしまい、現実的な対応策にならないだろう。
ネットワンシステムズ フェロー