ゴミ箱を漁って有用な情報を盗み出す「ダンプスターダイビング」は、長らくハッキングの常套手段でした。1995 年に公開された映画『サイバーネット』(原題:Hackers)では、アシッド・バーンとクラッシュ・オーバーライドがスーパーコンピュータ「ギブソン」をハッキングするために機密情報を探り出そうとします。当然ながら、オフィスビル近くに設置されている大型ゴミ箱に捨てられているものだけがゴミなのではなく、形のないバーチャルなゴミもあります。ゴミ箱に捨てられている物理的なゴミも手がかりにはなりますが、デジタルゴミの中には、それに劣らず役立つもの、有用なもの、興味を引くものがあります。では、人々が廃棄しているデジタルアーティファクトにはどのようなものがあるのでしょうか。また、そうした情報が悪人の手に渡ると何が起きるのでしょうか。
私は業務上、何か事が起きる前に悪意のある電子メールの送信元を突き止めたり、そうした送信元をさらに詳しく調べたりするための新しい方法を考え出すことにかなりの時間を費やしています。より多くの送信元を見つけることができれば、Cisco Talos として最新の電子メール攻撃からお客様をさらに強力に保護できるからです。
一般論として、悪意のあるメールの送信元を新たに探す場合、不正なメッセージが実際にやり取りされていた場所を見つけ、その中に入り込んで調査するのが最も簡単な方法です。電子メールのゴミが見つかりやすい場所としては、かつて使用されていて、その後有効期限が切れたドメイン名が考えられます。電子メールの送信、デジタルサービスの提供、コンテンツのホスティングなどに使用されていたドメインで、それをかつて所有していたのがインターネットでよく見かける組織であれば実に有用です。有効期限が切れたドメイン名は、電子メール攻撃の送信元として適しているだけでなく、そうした古いドメイン名が正当なトラフィックを受信し続けている場合もあります。インターネット上のバーチャルな「ゴミ」を延々と探し続けていると、時々、興味を引く「お宝」が見つかります。古いことわざにあるように、「誰かのゴミも他人には宝の山」なのです。
狙われやすい金融機関のドメイン
かつて金融機関が所有していた有効期限切れドメインは興味を引きます。悪意のあるトラフィックを引き寄せる可能性があるからです。Talos は今回の調査中に、以前マサチューセッツ州の銀行が所有していたドメイン名「chartbank.net」を発見しました。調べてみたところ、その銀行はすでに売却されていて、同行が使用していたドメイン名の有効期限は切れていました。
古い金融機関リストの中に、同行のドメインが掲載されている場合があります。このドメインの電子メールアドレスが今もユーザの連絡先データベースに残っていて、同行のドメイン宛てに送信されたユーザからのメッセージが電子メールアーカイブで見つかることもあります。金融業界に属するドメインなので、金融データやネットワークを侵害しようとする攻撃者に狙われることは珍しくありません。それだけでなく、この手のドメイン宛てに、正当な送信元から非常に興味深い内容のメールが送信される可能性があります。
たとえばこの電子メールは連邦準備銀行のメーリングリストから送信されています。
連邦準備銀行から他行宛ての電子メール
また、このドメインを個人の連絡先として使用していた元銀行従業員宛てのメールもいまだに受信しています。
元銀行従業員宛ての個人的な電子メール
サービス終了後も使われ続ける広告ネットワーク
一部のドメインは、ドメイン登録が随分前に有効期限切れになっていても、ある程度の量のインターネットトラフィックを受信し続けています。以前に行った調査では、「u-ad.info」というドメイン名が見つかりました。かつて UAds という広告ネットワークに広告を配信するために使用されていたドメインです。実際、2020 年 9 月時点でも、UAds の Web ページには次のような文面が掲載されていました。
「ご自身の Web サイトを手軽に収益化したいなら、u-ad.info にご登録ください。費用は一切かかりません。Web サイト上に広告スペースを作成し、スクリプトを添付すれば完了です。Web サイトの内容、閲覧者、ランキングに従って、ランダムに広告が表示されます。訪問者が広告を見たりクリックするたびに、いつでも換金可能な U-Ad ポイントをお受け取りいただけます」
このドメインを追跡してみたところ、ISP 全体でユーザの Web トラフィックを書き換えて UAds の広告を挿入していたことが明らかになりました。Talos がこのドメインを再登録し、送信されたリクエストを記録する Web サーバを立ててみると、2 週間足らずで 236,776 の一意の IP アドレスから 110 万件を超える広告リクエストが送信されてきました。
広告のリクエストの例を示す HTTP アクセスログ
攻撃者は通常、悪意のあるコードを Web ページに組み入れる最初の段階で非常に苦労するものです。もしこのドメインが悪意のある誰かの手に渡っていたら、深刻な攻撃が実行されていた可能性があります。
キーボードスマッシュ
オンラインフォームのフィールドに手っ取り早くデータを入力したいときがあるでしょう。考えるのが面倒な場合、適当にキーボードを叩けば、あっという間に大量の文字を入力できます。キーボード上で隣接している文字が多用されている場合は、ユーザがこの「キーボードスマッシュ」のテクニックを使ったと考えて間違いありません。Web サイトの新機能をテストしたり、ユーザが自分の身元を明かしたくないサイトにサインアップするような場合にありがちなことです。
adasdad.com という、この方法で適当に付けられたと思われるドメイン名があり、未登録だったにもかかわらず、DNS トラフィックがある程度観察されていました。Talos は、このドメインも登録してみました。ドメインの電子メールを有効にしたところ、受け取ったメールの中には驚くような内容のものがありました。
あるメールの内容は、レストラン用に設置された新しい WordPress サイトに関するものでした。この WordPress サイトを設置したユーザは、管理者として「asdasdad@adasdad.com」という電子メールアドレスを登録していました。その気になれば、Talos がパスワードをリセットしてログインすることもできたはずです。
他人のサイトの管理者であることを通知する WordPress の電子メール
続いて、adasdad.com ドメインの「偽の」アドレスを Google アカウント再設定用の電子メールアドレスとして設定したユーザを見つけました。ユーザが Google アカウントにサインインするたびに、次のような電子メールが生成され、Talos が登録した adasdad.com ドメインに送信されます。
adasdad.com ドメインのメールアドレスをアカウント再設定メールアドレスとして指定したユーザの例
また、Facebook のビジネスページを使用しているユーザがテストを行っていたらしく、「adsadada@adasdad.com」宛てにビジネスページの管理を許可する招待状が送信されてきました。このアドレスは存在しないはずだと思って送信したのは確実でしょう。
他人の Facebook ビジネスページの管理権限があることを通知する電子メール
adasdad.com ドメインの電子メールアドレスを使用して Netflix などのサービスにサインアップしていたユーザもいました。この電子メールは、「akdhahdasdad@adasdad.com」という電子メールアドレスを使用して登録された、有効な Netflix サブスクリプションを保有するユーザ宛てのメッセージです。
有効な Netflix アカウント(Talos が登録したドメイン)宛てに送信された電子メール
マイニングプールへの潜入
ドメインのダンプスターダイビングを行っていると、ほかにも興味深い Web サイトが見つかることがあります。暗号通貨マイナーが過去に使用していたドメイン名です。暗号通貨マイニングは単独でも実行できますが、リソースを組み合わせれば生産性が高まり、より多額の収益を定期的に得ることができます。マイニングリソースを組み合わせるため、暗号通貨マイナーは、複数のマイニングクライアントを単一のモノリシックエンティティにまとめたマイニング「プール」を形成します。時には、こうしたマイニングプールで使用されていたドメインがなくなることもありますが、すべてのクライアントが通知を受け取るわけではありません。一部のゾンビ マイニング クライアントは、マイニングジョブの有無をマイニングプールのドメインに問い合わせ続けます。
今回の調査で Talos は、かつて Monero のマイニングプールドメインとして使用されていた「minexmr1.com」を発見しました。ドメインを再登録した結果、最も一般的な暗号マイニングポート(3333 や 5555 など)にトラフィックが送信されていることがわかりました。これらのポートをリッスンしたところ、マイニングクライアントが xmrig ソフトウェアを実行し、Monero マイニングジョブを探していることを確認できました。
Monero マイニングジョブを探しているマイナーからの接続を示す Netcat の表示
本来であれば、この「minexmr1.com」というドメインでマイニングプールを構築していたはずのマイニングプールサーバを、xmrig-proxy などの暗号通貨マイニング用のプロキシに置き換えるのは造作もないことです。「xmrig-proxy」などのプロキシは、個々の暗号通貨マイナーが複数のマイニングリソースを利用するために使用されます。プロキシを利用することで、複数のリソースを単一のアップストリーム マイニング プールに集中させることができます。また、複数のデバイスにまたがる設定をやり直すことなくリソースを新しいマイニングプールにまとめて移動することも可能です。ドメインの所有者がこの方法でマイニングプロキシを使用すれば、ゾンビ マイニング クライアントを利用してアップストリームのマイニングプールに接続することで、ダウンストリームのマイナーに一切報酬を支払うことなく不労所得を得ることができます。
被害者は別の攻撃者にも狙われかねない
コンピュータ攻撃が阻止されると、犯人は逮捕され、被害者全員に通知が届き、犯罪現場が一掃されて、次の攻撃が起きない限り世界はまた安全になる、そんな想像をしたくなります。ですが、当然ながら現実ははるかに厄介です。悪意のある攻撃者の大半は捕まりません。また、必ずしも被害者に通知が届くとは限りません。通知を受けたとしても、攻撃があった事実をすぐには信じられなかったり、無関心だったりすることも珍しくありません。攻撃者が不正行為を行うために使用するコマンドアンドコントロール(C2)ドメインや DGA ドメインをシンクホール化することで、セキュリティの専門家により「犯罪現場」が一掃されることがあります。しかし多くの場合、攻撃が阻止されると一斉に姿を消し、攻撃者が使用していたドメイン名は休眠状態で放置されます。つまり、誰もがこうしたドメインを手に入れることができるということです。
たとえば 2018 年に、Mikrotik 社のルータを悪用したゼロデイ攻撃が実行されました。同社がパッチをリリースしたことで攻撃は終息し、最終的に、攻撃者に利用されたドメインは登録解除されることになりました。
2018 年に発生した、攻撃者が制御する複数のドメインを利用したゼロデイ攻撃に関するツイート
被害者の中には、使用している Mikrotik 社製ルータが侵害されていたにもかかわらず、攻撃に関する通知を受け取らなかったか、問題を解決しようとしなかった人たちも複数存在することが判明しています。そうした被害者のルータは、引き続き無効なドメインとの通信を試み続けることになりました。例として、Umbrella Investigate で攻撃者の C2 ドメイン「marchdom4.com」のタイムラインを見てみましょう。複数のマシンが今なお攻撃者との通信を試みていることを示す大量のトラフィックが確認できます。
Umbrella で確認された攻撃者の C2 ドメイン marchdom4.com に対するクエリ件数
Umbrella が受信した要求の分布を確認すると、トラフィックは世界中にほぼ均等に散らばっています。
攻撃者の C2 ドメイン marchdom4.com に対する DNS 要求の分布を表す Umbrella の表示
Talos はこのドメイン名を再登録し、受信したトラフィックを分析しました。その結果、約 3 年前の攻撃で侵害された何千もの被害者のマシンが、次のステージのペイロードを求めて無駄に通信を試みていたことが判明しました。
被害にあったマシンからマルウェアペイロードの次のステージを求める要求が出されていることがわかる HTTP アクセスログ
このドメインが別の攻撃者の手に渡ると、元々の攻撃の被害者が狙われる危険性があります。そればかりか、新たな悪意のあるアクティビティを行う際に元の攻撃者に罪を着せる可能性もあります。
まとめ
今回取り上げたドメインは、氷山の一角にすぎません。有効期限が切れたドメインは日々増えていきます。トップレベルドメインが新たに増えたことで、期限切れドメインを利用して一攫千金を狙う動きも活発化しています。期限切れドメインを探すためのツールがあれば、何らかの理由でかなりの量のネットワークトラフィックを受信し続けている期限切れドメインを見つけることができます。こうしたドメインのトラフィックストリームを調べてみると、多くの場合、今はもう使用されていないドメインを目にすることになります。
私自身、30 年以上オンラインで過ごしてきましたが、何らかのサービスを受けるために「サインアップ」したサイトの数はもう覚えていません。自分に関係のあるドメイン名について考えてみてください。そうしたさまざまなドメイン名を、どのような目的で使用しているでしょうか。何らかの理由で自分に関わりのあるドメイン名が使用されなくなってしまった場合、他のユーザが見つけ出したり復旧したりできる機密データが残ってはいないでしょうか。最悪の場合、攻撃者がこうしたドメイン名を再登録して情報を盗んだり、発見した情報を使用してさらなる攻撃を仕掛けたりする危険性があります。
ドメインを設定するだけで後は一切労力をかけることなく、流入してくる情報を集めて金脈を掘り当てることを目的とした攻撃の可能性もあります。あるいは、フィッシングなどの詐欺をはたらくために正当な組織になりすますなど、単純なソーシャルエンジニアリング攻撃の形をとるかもしれません。Web コンテンツに埋め込まれている URL のドメインが何か無害なものをロードするためのものであったとしても、そのドメインが未登録のまま放置されている場合は「悪意を持った」使われ方をする可能性もあります。こうした攻撃に対するコンピュータやネットワークの防御はどうなっているでしょうか。いずれにしても、自社のネットワークからインターネットの「ゴミ捨て場」宛てに送信されるトラフィックについては調査が必要です。そうした「ゴミ捨て場」が突如としてインターネット上の怪しげな場所に変わってしまった場合に被害を受けないようにしなければなりません。
カバレッジ
今回のような脅威は、以下の製品で検出してブロックすることが可能です。
Advanced Malware Protection(AMP)は、怪しげなドメインを使用している攻撃者によるマルウェアの実行を阻止するうえで最適です。
Cisco クラウド Web セキュリティ(CWS)または Web セキュリティアプライアンス(WSA)の Web スキャンは、悪意のある Web サイトとドメインへのアクセスを防止し、マルウェアを検出します。
E メールセキュリティは、フィッシングなどのソーシャルエンジニアリング攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。
次世代ファイアウォール(NGFW)、次世代侵入防御システム(NGIPS)、Meraki MX などのネットワーク セキュリティ アプライアンスは、怪しげなドメインに関連する悪意のあるアクティビティを検出します。
AMP Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。
Umbrella(シスコのセキュア インターネット ゲートウェイ(SIG))は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。
オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。
本稿は 2021 年 03 月 08 日に Talos Group のブログに投稿された「Domain dumpster diving」の抄訳です。