核心概念
クラウドプラットフォームで放棄されたリソースを悪用し、悪意のあるコンテンツを配信する攻撃が実際に行われていることを明らかにした。
要約
本研究では、クラウドプラットフォームで放棄されたリソースを悪用した攻撃の実態を初めて明らかにしている。
主な知見は以下の通り:
攻撃者は、IPアドレスではなく、ドメイン名の取得が容易なリソースを狙っている。これは、IPアドレスの取得には手間がかかるのに対し、ドメイン名の取得は簡単であるためだ。
放棄されたリソースの悪用を検出するのは非常に困難である。単にコンテンツの変化を監視するだけでは不十分で、複数のデータソースを組み合わせた分析が必要となる。
攻撃者が悪用するのは、主にブラックハットSEOである。従来考えられていた、マルウェア配布やなりすましなどの攻撃よりも、SEOを悪用した不正な収益化が主流である。
攻撃者は、ランキングの高い企業や大学のドメインを狙っている。Fortune 500企業の31%、Global 500企業の25.4%が被害に遭っている。
攻撃の持続期間は様々で、15日以内に解決されるものもあれば、1年以上続くものもある。長期化すれば、攻撃者は被害ドメインの評判を悪用して収益を上げることができる。
統計
攻撃者は、ランダムに割り当てられるIPアドレスではなく、ユーザーが任意に設定できるリソース名を狙っている。
攻撃者が悪用したリソースの75%はブラックハットSEOであった。
被害企業の31%がFortune 500企業、25.4%がGlobal 500企業であった。
被害ドメインの1/3以上が65日以上にわたって悪用されていた。
引用
"攻撃者は、IPアドレスではなく、ドメイン名の取得が容易なリソースを狙っている。"
"放棄されたリソースの悪用を検出するのは非常に困難である。単にコンテンツの変化を監視するだけでは不十分で、複数のデータソースを組み合わせた分析が必要となる。"
"攻撃者が悪用するのは、主にブラックハットSEOである。従来考えられていた、マルウェア配布やなりすましなどの攻撃よりも、SEOを悪用した不正な収益化が主流である。"