日々ネットワークを関してしている脅威インテリジェンス。マルウエアの配布元を探ってリスト化し、それを企業やセキュリティベンダーに提供しています。
最近のスパムメールには、大概マルウエアを添付するわけではなく、マルウエアの所在する、もしくはその手掛かりの情報があるサイトへ誘導することをします。
脅威インテリジェンス側もそのサイトのIPアドレスやドメイン名、URLをリスト化してはやくブロックするように提供しています。
できれば、スパムメールが届く前に、もしくは、届いても、悪意のあるサイトへ到達しないようにしたいもので、リストは日々アップデートされています。
当然、攻撃側も、悪意のあるサイトをなるべく発見されてないように努めます。また、サイトは常時一定のところにいるわけではなく、転移しています。
今回の報告は、なるべくサイトのURLを特定されてないように、つまりスパムフィルターなどのセキュリティ対策をかいくぐるためのテクニックが判明しました。
なかなか興味深い内容ですね。
URLは、通常
プロトコル+ドメイン名(ホスト名)+URI+オプション
で構成されます。
規格では、ドメイン名の記述方法で
Athority(ユーザ名に使われる)が記述できるようになっています。
例えば
"joseph@www[.]hogehoge[.]com/world/black"
てな感じで、
"www[.]hogehoge[.]com/world/black"
には悪意のあるスクリプトが埋め込まれているとしましょう。
実際
www[.]hogehoge[.]comがこのURLを知らないよ、って答えると、
リダイレクト要求して、
"www[.]hogehoge[.]com/world/black"
"www[.]hogehoge[.]com/world/black"