GoogleニュースのTechnologyセクションを斜め読みしていますと、タイプミスがハッカーの新たな武器に(Hacker's new weapon - typos)という見出しが目に留まりました。
一体何のことやら、ということで記事を読んでみると、電子メールなどで相手のアドレスを間違えてタイプした結果、意図した宛先ではなく、ハッカーの手に届いてしまい、情報漏洩や詐欺の被害に遭う可能性があるということらしいです。
The problem arises because of the way organisations set up their email systems. While most have a single domain for their website, many use sub-domains for individual business units, regional offices or foreign subsidiaries.
Dots or full stops are used to separate the words in that sub domain.
For example a large American financial group may take bank.com as its corporate home but internally use us.bank.com for staff email.
Usually, if an address is typed with one of the dots missing, ie usbank.com, then the message is returned to its sender.
But by setting up similar doppelganger domains, the researchers were able to receive messages that would otherwise be bounced back.
"Doppelganger domains have a potent impact via email as attackers could gather information such as trade secrets, user names and passwords, and other employee information," wrote the researchers in a paper detailing their work.
(Bad spelling opens up security loophole. BBC News. September 12, 2011.)
ドメインやサブドメインの区切り文字として使われるドット(.)があるかないかだけで、コンピュータの世界では異なるアドレスと区別されるわけで、そこを狙った新手のinternet scamということになります。
セキュリティ専門家の調べでは、アメリカの銀行など金融会社のドメインを中心にこうした詐欺の手口が使われていることを確認しているようです。ハッカー達の悪知恵は単にタイプミスにより偶然に取得した情報を利用するのみならず、送信者には正しいアドレスに転送したように見せかけておいて、あたかもメールボックスの仲介役を果たすような役割を演じ、さらに継続して不正に情報を入手しようとしている、という報告もあります。
さて、上記の引用文中に、"doppelganger domain"という言葉が使われていますが、これは本家と似たような紛らわしいドメイン、のことを指しています。つまり詐欺に使われる方の、正しくない、本家とは似て非なるサイト名(ドメイン)のことです。
"doppelganger"はドイツ語ですが(ドイツ語のスペルでは"a"にウムラウトがつきます)、カタカナでそのまま、”ドッペルゲンガー”、もしくは生き霊、分身、などと訳されます。
American Heritage Dictionaryによると、
doppelganger (DOP-uhl-gang-er) noun
A ghostly counterpart or double of a living person.
[From German, literally a double goer.]
とあります。死の直前に、自分とそっくりの人間に遭遇する、というおどろおどろしい話がありますが、自分そっくりの人間が"doppelganger"と呼ばれるものです。
インターネットが流行り始めた10数年前に、米国ホワイトハウスのホームページはwhitehouse.govなのに、よく似たアドレスでドメインだけが違う、whitehouse.comはポルノサイトだ、という話があったのを思い出しますが、そんなものは今日のこのような詐欺の手口からするとかわいいもので、人がミスしやすいところを狙った新手のセキュリティの脅威には、自分だけは安全圏とは思えないものを感じます。
登録:
コメントの投稿 (Atom)
0 件のコメント:
コメントを投稿