【セキュリティ】「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法

「windows.com」から1bitずれた「whndows.com」ドメインを取得して、前者へのトラフィックを取得するといった「bitsquatting(ビットスクワッティング)」と呼ばれる手法について、調査を行なった報告をremy氏が公開している。

アクセスの多いWebサイトのドメインをターゲットとし、本来の文字列から1文字変更したドメインを取得しておくことで、フィッシングなどを狙うbitsquattingと呼ばれる手法がある。ユーザーの文字入力ミスを利用して、わざと誤ったドメイン名を取得しておくtyposquatting(タイポスクワッティング)なども類似する手法として挙げられる。

一方、PCなどのメモリでは、構造上の問題や宇宙線、熱、温度の変動などを要因として、まれにビット反転が発生しデータが変化する「bit flipping」という症状が起きることがある(メモリで複数のビットが反転するソフトエラー参照)。今回remy氏が検証したのは、これを利用することでbitsquattingを狙うものだ。

同氏の投稿では、「windows.com」を対象として検証を行なっている。たとえば、「i」(01101001)を1bitずらした「h」(01101000)に変えた「whndows.com」のドメインを取得するといったかたち。
企業などが持つドメインでは、bitsquattingやtyposquattingに応用しうる類似ドメインもあわせて取得することでフィッシング攻撃を防ぐのだが、「windows.com」の場合は、有効性のある32のドメインのうち、14は誰でも購入可能な状態だったという。

そこで同氏は14のドメインをすべて購入し、これらのドメインにワイルドカードDNSを設定し、アクセスしてくるパケットをキャプチャして調査を実施した。その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。
Windows搭載マシンが時間設定を行なうさいに標準で利用するサーバーのためアクセスが多く、ビット反転の影響を受けたトラフィックをもっとも多く観測したという。

これら14のドメインについては、攻撃に利用できないよう氏が保持するが、身元のわかる責任者に対してはドメイン移管する用意があるとしている。同氏は、アクセスの多いドメインにおけるbitsquattingは実用性が十分にあるとし、OSに統合されたサービスではより多く発生する可能性があると指摘している。
また、今回観測できたアクセスには文字入力ミスによるものも含まれており、その多さにも驚いたという。

Impress
https://pc.watch.impress.co.jp/docs/news/1310364.html