トレンドマイクロが2007年6月5日、同社スタッフによる公式ブログにおいて、タイプミスを狙った攻撃「タイポスクワッティング(typo-squatting)」に関して注意を呼びかけた。5月末には、イタリアにおいて大規模な攻撃が確認されたという。
タイポスクワッティングとは、直訳すると「タイプミスの不法占拠」。有名なサイトのドメイン名と似たドメインを取得して“占拠”し、タイプミスしたユーザーが誤ってアクセスしてくるのを待つ。同ブログでは、例えば「yahoo」のタイプミスを狙った「yahpoo」などが、タイポスクワッティングに該当するとしている。
タイポスクワッティング自体は古典的な手口の一つで、珍しいものではない。しかしながら先月末、イタリアで大規模なタイポスクワッティングが確認されたことを受けて、トレンドマイクロでは改めて注意を呼びかけた。
イタリアの「.it」ドメインを持つ有名企業(eBayイタリアやGoogleイタリア、イタリア国内の有名企業や新聞社など)のドメイン名とよく似たドメインを持つ「わなサイト」が、一度に1000以上出現したという。いずれのサイトにアクセスしても、最終的には、ある特定のサイトへリダイレクトされる。
そのサイトは、ユーザーにウイルスをインストールさせようとする攻撃サイト。そのサイトのWebページには、イタリア語で「アクセスできない」という意味のエラーメッセージと、女性の動画コンテンツ(に見せかけた静止画)が表示される(図)。
そして、この動画コンテンツ(実際にはJPEG画像ファイル)を再生するために必要だとするコーデックのインストールが促される。このコーデックの実体はウイルス(悪質なプログラム)。インストールするとウイルスに感染して被害に遭う。
なお、トレンドマイクロの情報には、感染後の挙動は書かれていないが、ウイルスのファイルサイズがそれほど大きくない(68KB)ことから、いわゆる「ダウンローダー(別のウイルスをダウンロードおよびインストールするプログラム)」である可能性が高い。
トレンドマイクロでは、タイプミスで別のサイトにアクセスしてしまった場合には、そのサイトには触らないようアドバイスしている。また、「アドレスバーに(URLを)直接入力する方法自体、なるべく行わない方がいいかもしれません」としている。
今回のケースでは、別のサイトにアクセスしてしまったことが容易に分かるが、タイプミスでアクセスした先が、有名企業のサイトそっくりのフィッシング詐欺サイトの可能性もある。アドレスバーにURLを入力する際には、十分注意する必要がある。
