サイバースクワット?typo狙い?
Published: 2008/03/22
昔から、一見、よくみる名前だけど、正規のサイトとは無関係なドメイン名が大量に存在します。サイバースクワットなのかtypo狙いで誘導する宣伝サイトなのか、なにかに感染させるためのサイトなのかいろいろな目的はあるようですが、インターネットの原理上こういったDNS操作は当たり前の行為であるため、善悪、防ぐ防がない議論は技術的なレイヤーではどうしようもないわけでありますが。ましてや最近の検索エンジンを使用したマーケティング行為とも取れるわけで、世の中はそこには眼をつぶる傾向?なのでマルウェア感染に利用するには格好な手法ですね。
そのような中で最近目立つ例で、同一のIPアドレスを持つアンチウイルス系、フリーソフト系、OS系などと関連ありそうなドメイン名が大量に存在します。直近の状況では多くがDNS的にNXDOMAINになっていたり、Aレコードは存在してもサイトは403の状態になっていたり、さらに今ではまったく違うアドレスになってしまっているものもあります。既に多くのブラックリストに登録されているものも多いです。そのようなものも含め観測されていたドメインの例が次のようなものになります。(実際には600以上あります)
acrobatbundle.com acrobatpack.com adawarebundle.com adawarepack.com adobe-pack.com adobepack.com adultmoviesmembersarea.com adwarepro.com antispyware-2007.com antispyware007.com antivirus-2007.com antivirus-pack.com antivirusreview.info avast-bundle.com avast-pack.com avastbundle.com avastpack.com avforce.com azulcancun.com bearshare-uk.com bearshare-usa.com bestedownloads.com build-myspace.com cashengines.com cashslinger.com criminal-records-now.us cyber-tv-partner.com cybertv-partner.com cybertvpartner.com detectiveservices.info digitaltvonpc.com download-ad-aware.com download-it-free.com download-mcafee.com downloadhome.net downloads-reviews.info drmengines.com easy-antivirus.com free-download-center.com free-mp3-share.com free-music-page.com gov-check.com gov-check.org gov-check.us gov-files.info gov-files.net gov-files.org government-check.com government-check.org government-check.us governmentcheck.org governmentcheck.us ibaffiliates.interactivebrands.com internettvaccess.com irfanviewbundle.com irfanviewpack.com mcafee-pack.com mcafeebundle.com mcafeepack.com netdetectiveservices.info onlinetvaccess.com pandabundle.com pandasecuritysoftware.com pandasecuritysoftware.net realplayerbundle.com realplayerpack.com safesoftwaredownloads.com security-review.info tele-enligne.tv thenuker.com thesoftwaremembersarea.com thetvmembersarea.com top-free-downloads.com top-software-downloads.com topsoftware-reviews.com tv-4-pc.com watchonline.tv winmx-uk.com winmx-usa.com winzip-10.com xp-secure.com
確かに一見しただけではそこから連想されるものと無関係なサイトには見えないですね。IPアドレス的には63.243.188.0/24内のアドレスがいろいろ使われていてwhois的にはここ。こういったサイトの専門業者??
NetRange: 63.243.188.0 - 63.243.188.255 CIDR: 63.243.188.0/24 NetName: RACK-ENGINES NetHandle: NET-63-243-188-0-1 Parent: NET-63-243-128-0-1 NetType: Reassigned NameServer: NS1.HSPROVIDER.NET NameServer: NS2.HSPROVIDER.NET
これはカナダなんですが、まったく違うアドレスに変更して中国の方にサイトを移動したものもあるようです。
by jyake