Comparisons Brawte nfaq 0 Comments

巨大企業のウェブサイトの何百もの忘れられた部分がスパマーやマルウェアスリンガーの手に落ちている

Table of Contents

巨大企業のウェブサイトの何百もの忘れられた部分がスパマーやマルウェアスリンガーの手に落ちている

独占情報:有名企業を含む大小さまざまな組織の 240 以上のウェブサイトのサブドメインが乗っ取られ、ネットユーザーをマルウェア、成人向けコンテンツ、オンラインギャンブル、その他の予期しないコンテンツにリダイレクトさせられました。

これらの大企業には、シェブロン、赤十字、ユネスコ、3M、ゲッティイメージズ、ハワイアン航空、アーム、ワーナーブラザーズ、ハネウェル、オートデスク、東芝、ゼロックス、NHS、シーメンス、ボルボ、クリアチャンネル、トタルなどが含まれると言われています。

これらはすべて、Microsoft の Azure クラウドでホストされていた方法によるものです。

ゼロックスを例に挙げましょう。同社のサブドメインの一つであるadvanced.core.freeflow.xerox.comは、エスコート、キッチン用品、油絵などの広告を掲載するウェブサイトへのリンクページをホストするために利用されました。これは、 xerox.comの評判が、リンク先のウェブサイトの検索エンジンランキングを押し上げることを期待したものだったのです。

かつてadvanced.core.freeflow.xerox.com は、ゼロックス社のIT管理者が選んだwebserver9000.azurewebsites.netといった名前のサーバー上で、Microsoftクラウド上にホストされていました。advanced.core.freeflow.xerox.comにあったものが不要になった時点で、ゼロックス社はwebserver9000.azurewebsites.netをスピンダウンし、他のユーザーが利用できるように解放しました。重要なのは、advanced.core.freeflow.xerox.comが依然としてwebserver9000.azurewebsites.netを指し示していたことです。そのため、誰かがそのホスト名を使って仮想サーバーを立ち上げたとしても、advanced.core.freeflow.xerox.comのコンテンツを制御できたのです。

これらの組織がハッキングされたというのは正確ではない。インターネットの一角を借りて、そこに自社のロゴと名前を貼り、そのスペースが不要になったら空けたまま、他人がこっそり入り込んで同じ住所、同じブランドでカジノやポルノ店を運営できるように、ドアに鍵をかけないままにしていた、という感じだ。

マイクロソフトのアイコンの隣に変装した人物

この更新プログラムはmybrowser.microsoft.comからダウンロードしてください。ああ、すみません、乗っ取られたサブドメインのマルウェアでした。おっと

続きを読む

これは、Azure でホストされているサイトを長年悩ませてきた見落としであり、以前にも取り上げたことがあります。Microsoft でさえ、自社の忘れ去られたサブドメインの一部を誤ってスパマーの手に渡してしまったのです。今回のサブドメイン不正利用の急増は、ゼロックスにとって二重に恥ずべき事態です。Maze ランサムウェアの攻撃グループは、このテクノロジー大手のネットワークに侵入し、数ギガバイトの内部データを盗み出したと主張しているからです。脅迫者に金銭が支払われない限り、これらのデータは漏洩すると聞いています。

新着情報?

乗っ取られたサブドメインの最新リストは、ザック・エドワーズ氏によって作成された。同氏は6月末にMicrosoftと影響を受けた組織にURLを報告し、そのコピーをThe Registerに提供して検証を依頼した。エドワーズ氏は、政府機関や大学の乗っ取られたサブドメインを20~30件、優先的に報告していたという。分析ビジネスVictory Mediumの共同創業者であるエドワーズ氏は、5月にも、忘れ去られたEpic Gamesのサブドメインからマルウェアが配信されているのを発見した。

エドワーズ氏は昨夜、これらの最新サブドメインの大部分が、長年活動している単一のグループに乗っ取られたようだと語った。「これらは国際的な犯罪グループによって様々な目的で利用されています」と彼は説明した。「一部のページはマルウェアにリダイレクトされ、ポルノやカジノ、あるいはインバウンドリンクで金銭を支払う可能性のある他の潜在顧客にリダイレクトされ、悪質なChrome拡張機能やクラッキングされたソフトウェアに誘導されるものもあります。」

「明らかに自動化されています。彼らは数多くの組織を攻撃し、大量のマルウェアをアップロードしてきました。私は多くの組織に対し、この旧来のグループがより破壊的な別のグループと手を組むことが最大の懸念事項だと警告してきました。大規模な事態には至っていないことを願いますが、私は最悪の事態を懸念しています。このグループは、認識されているよりもはるかに高度な技術を持っていると考えています。」

エドワーズ氏によると、多くの場合、犯罪者はサブドメインを乗っ取った後、ルートURLに404エラーや「近日公開」メッセージを表示させて存在を隠そうとする。しかし、ディレクトリツリーのさらに下には、悪質なリダイレクトからアフィリエイトリンク、マルウェアをインストールさせるように設計されたページ、ランキングを上げるためのブログや怪しいサイトへのリンクまで、あらゆるファイルを含む数千ものファイルが潜んでいる可能性がある。

なんと20パーセント?

エドワーズ氏によると、報告したサブドメインの約20%が閉鎖されたという。The Registerは現在、サブドメインが乗っ取られた組織に連絡を取り、コメントを求めている。「6月30日にこの状況を認識し、解決しました」とオートデスクは昨夜私たちに語った。

先月末、マイクロソフトは顧客に対し、サブドメインのコンテンツが悪意のある第三者に制御されないようにする方法を説明するサポート記事を公開しました。Windowsの巨人である同社は、多くのクラウドクライアントがスパマーの攻撃を受けていることを把握した後、この宙ぶらりんのDNSアドバイザリを発行したことを肯定も否定もしませんでした。®

Comparisons

Smart Recommendations

Discover More