入力ミスのコストは?~タイポスクワッティングの狙いと対策

セキュリティ製品は、企業、ベンダー、エンド ユーザーが現在のネットワーク環境を生き抜くために必要不可欠です。どのセキュリティ製品を導入すべきかは、コストとメリットに基づいて決めるのが理想的です。コストは、費やす金額や導入・管理作業によって容易に定量化できますが、セキュリティ製品のメリットを評価する方法については、確定的なものがありません。多くの場合、メリットは、検出されたバグや駆除されたマルウェア、ブロックされたスパムや判明した認証情報の盗難の数によって定量化されています。これらはすべて意味のある指標ですが、これらを使用して、人々の日常生活にもたらす直接的なインパクトについて結論を出すことはできません。

たとえば、クレジット カードの盗難を例にとりましょう。クレジット カードの盗難は金銭的損失につながる可能性がありますが、損害はそれだけではありません。ユーザーは、カード番号の変更や新しいカードの申請のために貴重な時間を失います。実際のところ、サイバー犯罪の成功率は低いと思われることから、時間のロスは、実際の金銭的損失よりも一般的です。

ユーザーの被害の程度を把握するには、サイバー犯罪による時間のロスを測定できる適切な指標が必要です。私たちは、イリノイ大学シカゴ校の研究者と協力し、この目標に向けて第一歩を踏み出しました[1]。特に、私たちの研究では、一般的かつ軽微なタイプのサイバー犯罪である、タイポスクワッティングのコストを測定することに焦点を置きました。

タイポスクワッティングとは、サイバー犯罪者が既存のWebサイトのドメイン名と類似するドメイン名(google.comを真似たgoodle.comなど)を登録することで、入力ミスしたドメイン名にトラフィックの流れを集めようとする攻撃です。タイポスクワッティングは、マルウェア感染のような暴力的な形態のサイバー犯罪に誘導するための一般的な手段とは考えられていません。過去の調査によると、入力ミスしたドメインを訪問した際にマルウェアに遭遇する可能性は、Alexaの上位100万サイトの正規のドメインに訪問した場合と比べて、さらに低いことが分かっています[2]。とはいえ、その害を見過ごすべきではありません。ユーザーは、目的とするサイトへのリダイレクトを待つ際や、入力ミスを修正する際に時間を無駄にします。さらに、ブランド所有者は、自社の正当なユーザーのトラフィックを失います。このことが、防御のための登録や、入力ミスを自動修正するブラウザ プラグインといったタイポスクワッティング対策製品への投資につながります。

私たちの研究では、こうした投資のメリットを定量化するために、タイポスクワッティングに起因してユーザーが失う時間とブランド所有者が失うトラフィックを測定することにしました。私たちは、310万個のソースIPからのWebトラフィックを分析するとともに、最新の条件付き確立モデルを活用して自然発生的な入力ミスを特定し、ユーザーが目的のWebサイトに辿り着くまでに要する時間を測定しました。

その結果は意外なものでした。タイポスクワッティングによって、典型的なユーザーが無駄にする時間は、ブラウザのエラー ページが表示された場合と比べて、タイポスクワッティング イベント1件当たり1.3秒にすぎませんでした。入力ミスのドメインからのレスポンスが向上しているためと思われますが、多くのタイポスクワッターは、入力ミスと修正の間のレーテンシーを実際に改善しています。ブランド所有者の場合、自社の正当なサイトは、入力ミスが登録されていない場合と比べ、入力ミスしたトラフィックの約5%を失います。負の外部性の比率(ブランド所有者の金銭的損失に対するサイバー犯罪者の収益の比率)は18:1であり、スパムの場合(100:1)と比べてはかるに低くなっています[3]。これらの結果から、タイポスクワッティングの被害は、ユーザーとブランド保有者の双方にとってまだそれほど大きなものではなく、タイポスクワッティング対策製品への投資は慎重になるべきであることが分かります。

[1]Mohammad Taha Khan、Xiang Huo、Zhou Li、Chris Kanich、「Every Second Counts:Quantifying the Negative Externalities of Cybercrime via Typosquatting(1秒1秒に価値がある:タイポスクワッティングによるサイバー犯罪の負の外部性を定量化する)」、IEEE Security & Privacy、2015年。

[2]Janos Szurdi、Balazs Kocso、Gabor Cseh、Jonathan Spring、Mark Felegyhazi、Chris Kanich、「The Long“Taile” of Typosquatting Domain Names(ドメイン名のタイポスクワッティングのロング テール)」、USENIX Security Symposium、2014年。

[3]Justin M. RaoとDavid H. Reiley、「スパムの経済学」、The Journal of Economic Perspectives、2012年。

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments