Endpoint Protection

 View Only

CO.CC ドメインから 1,200 万件の攻撃が発生 

Mar 16, 2011 06:24 AM

シマンテックが遠隔計測を行った結果によると、過去 6 カ月間に 1,200 万以上の IPS(侵入防止シグネチャ)が、CO.CC ドメインのサブドメインにヒットしたことが明らかになっています。トップレベルドメインの命名階層にある程度詳しい方であれば、CO.CC も CO.UK のような公式のセカンドレベルドメインであると考えそうですが、実際にはそうではありません。.CC は、オーストラリアココス(キーリング)諸島を表すインターネット国別コードトップレベルドメイン(ccTLD)です。CO.CC は公式な階層ではなく、無料のサブドメインや URL 転送などのサービスを提供している企業が所有しているドメインです。CO.CC ドメイン Web サイトの使用条件はこちらのページに掲載されています。

CO.CC 自体は正規のドメインであり、800 万以上の正規 Web サイトの URL がサブドメインに登録されています。しかし、どんな場所にあっても、無料サービスはマルウェアの拡散に悪用されやすいという性質があります。マルウェアを拡散しようと考える攻撃者は、無料サブドメインをいくつも登録したうえで URL 転送サービスを使えば、クライムウェア悪用パックをホストしている 1 つのドメインに、無料サブドメインのすべてを誘導できるからです。このようにして、攻撃者はリダイレクトを経て攻撃を展開し、悪用パックをホストしている最終的な URL を隠蔽しようとします。そのため、悪質な URL のブラックリスト登録もさらに難しくなります。シマンテックの解析では、CO.CC サブドメインに関連して BlackHole、Fragus、Phoenix、Crimepack、K0de、Eleonore などの多くの悪用パックが確認されています。 

 

過去にも、無料の動的 DNS サイトなどの無料サービスがマルウェアの拡散に悪用された例はあるので、一部の読者にとっては今回の例が画期的というわけではありません。Hydraq(Aurora)などの攻撃では、攻撃者が動的 DNS を利用する手口が注目され、多くの企業がネットワークで動的 DNS サイトの使用を禁止する結果になりました。このブログで取り上げているような無料サービスをサイトに使うことも、攻撃を実行する経路のひとつになっているということです。

シマンテックの調査では、以下の脅威の亜種も CO.CC サブドメインと通信していることが確認されています。

CO.CC サブドメインを使うことが確認されている脅威

いつものことですが、このブログで説明している脅威に備えるためには、定義ファイルを最新の状態に保つようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.