Sucuriは12月2日(米国時間)、「Another Fake Google Domain: fonts.googlesapi.com」において、サイバー攻撃キャンペーンの調査中に「fonts.googlesapi.com」と「wordprssapi.com」という偽のURLを発見したと伝えた。特にfonts.googlesapi.comは正規のURLと比べて判別が難しく、仮に調べたとしても偽のURLとして気が付かない可能性が高いと指摘している。同記事が公開された時点では、このURLをブラックリストに登録しているセキュリティベンダーはほとんどいないとして、注意を呼びかけている。

  • 発見された偽のURL - 資料: Sucuri提供

    発見された偽のURL - 資料: Sucuri

サイバー攻撃において、正規のURLに似せたURLを使う手口は古くから使われているもので目新しい方法ではない。こうしたドメイン名は毎月大量に登録が行われおり、サイバー攻撃に用いられている。

今回、Sucuriが発見したfonts.googlesapi.comは2つの点で特徴的。まず、名前そのものが正規のURLと見間違えるほど似ていること。2つ目は、登録されたURLは1年前のものとそれほど新しくなく、かつ、使用頻度が低いためブラックリストに登録されていなかったことだ。

攻撃者はこのURLを登録してからしばらく寝かせておき攻撃性が低いと判断される状況にしてから、サイバー攻撃に使用した可能性もあると見られる。

記事では、ソースコードを監査する時に、こうしたURLが正当なものであるかどうかを調査することを推奨している。偽のURLは今回のような使われ方だけではなく、タイプミスしやすいURLを確保しておき、攻撃に悪用するというケースもあり注意が必要。