スパマーは、米国政府のソーシャル メディア活動向けの URL 短縮サービスを悪用し、在宅勤務詐欺用の不正な .gov URL を作成する方法を発見しました。
シマンテックのセキュリティ研究者は、ユーザーを1.usa.govというドメイン名のURLに誘導しようとする新たなスパムメールキャンペーンを検出しました。このドメインは、米国政府の公式WebポータルであるUSA.govとURL短縮サービスBitlyの提携によって作成されました。
USA.gov のハウツー ページによると、Bitly.com を使用して .gov または .mil で終わる URL を短縮すると、このサービスによって 1.usa.gov ドメインの下に短縮 URL が生成されます。
「短縮URLは、ユーザーを信頼できるサイトに誘導するか、スパムサイトに誘導するかのどちらかですが、クリックする前にはどちらなのかを知る術がありません。そのため、USA.govでは、米国政府の公式情報にのみアクセス可能な、短くて信頼できる.gov URLを簡単に作成できるようにしました」とウェブページには説明されています。
しかし、スパマーは、一部の .gov Web サイトにあるオープン リダイレクト スクリプトを悪用して、サービスと .gov URL に関連付けられた固有の信頼性を悪用する方法を見つけ出したようです。
リダイレクトスクリプトは、ウェブサイト所有者がウェブサイトに掲載されているサードパーティのURLへのクリックを追跡したり、ユーザーがウェブサイトを離れる際に警告を表示したり、その他の目的で使用されます。しかし、これらのスクリプトは保護されていないまま、任意の宛先に開かれていることが多く、いわゆるオープンリダイレクトの脆弱性を引き起こします。
「オープンリダイレクトの脆弱性を悪用することで、スパマーは1.usa.govというURLをスパムウェブサイトに誘導することができました」と、シマンテックの研究員エリック・パーク氏は金曜日のブログ投稿で述べています。特に、スパマーはバーモント州労働省のウェブサイト(labor.vermont.gov)からのオープンリダイレクトスクリプトを利用していたとパーク氏は述べています。
まず、このキャンペーンの背後にいるスパマーは、在宅勤務の機会に関する記事を掲載した金融ニュースサイトを装った詐欺ウェブサイトを作成しました。この種の詐欺は長年存在しており、自宅のパソコンでインターネットで収入を得られると謳って、ユーザーにスターターキットやサービスのサブスクリプション料金を支払わせることを目的としています。
このキャンペーンで使用された詐欺 Web サイトは、consumeroption.net、consumerbiz.net、workforprofit.net、consumerneeds.net、consumerbailout.net などのドメインでホストされていました。
スパマーは、labor.vermont.gov ウェブサイトのオープンリダイレクト脆弱性を悪用し、「labor.vermont.gov/LinkClick.aspx?link=[詐欺ウェブサイト]」という形式の URL を作成しました。これらの URL は Bitly を経由して 1.usa.gov の短縮 URL を生成するため、2 段階のリダイレクト チェーンを形成しました。
「URL短縮サービスやオープンリダイレクトの脆弱性を利用することは目新しい戦術ではないが、スパマーが.govサービスを利用して独自のリンクを作成できるという事実は懸念される」とパーク氏は述べた。
このスパムキャンペーンで使用された不正な 1.usa.gov URL に関して Bitly が提供した公開統計によると、リンクは 10 月 12 日から 10 月 18 日の間に 43,049 回クリックされており、10 月 18 日にクリック数が大幅に増加した。
「1日あたりのクリック数上位4カ国は、米国、カナダ、オーストラリア、英国でした」とパーク氏は述べた。「全体としては、米国がクリック数の61.7%を占め、最大のシェアを占めました。」
政府関連のURLは、より高い信頼感を与える可能性があります。しかし、リンクがどこを指しているかに関わらず、ユーザーはリンクを開く際に常に注意を払うべきだとパーク氏は述べています。
