我々の最新の研究により、Webサイト上のクリック可能なリンクが悪意のある目的地に頻繁にリダイレクトされる可能性があることが判明した。我々はこれらを「ハイジャック可能なハイパーリンク」と呼んでいるが、これは信頼できるWebサイトを含むWeb全体で数百万件発見もされている。
2024年のWeb Conferenceで発表された我々の論文は、Web上のサイバーセキュリティの脅威が、これまで考えられていたよりもはるかに大規模に悪用される可能性があることを示している。
懸念すべきことに、これらのハイジャック可能なハイパーリンクは、大企業、宗教団体、金融機関、さらには政府のWebサイトにも存在することが判明した。これらのWebサイト上のハイパーリンクは、警告を発することなくハイジャックされる可能性がある。警戒心の強い、ある人々からすれば偏執的とも言えるユーザーだけが、これらの罠に陥ることを避けられるだろう。
我々がWeb全体でこれらの脆弱性を発見できたのであれば、他の人々にもできる。以下は知っておくべきことである。
ハイジャック可能なハイパーリンクとは何か
銀行のWebアドレスを入力する際にタイプミスをすると、誤ってフィッシングサイト(個人情報を盗むために銀行のWebサイトを偽装する「スプーフィング」サイト)にアクセスしてしまう可能性がある。
急いでおり、Webサイトを注意深く確認していなければ、機密性の高い個人情報を入力してしまい、その間違いのために高い代償を払う可能性がある。これには、なりすまし、アカウントの侵害、経済的損失などが含まれる可能性がある。
プログラマーがコード内でWebアドレスをタイプミスした場合、さらに危険なことが起こる。そのタイプミスにより、ユーザーが一度も購入されたことのないインターネットドメインに誘導される可能性がある。我々はこれらをファントムドメインと呼んでいる。
例えば、プログラマーがtheconversation.comへのリンクを作成する際に、誤ってtehconversation.comにリンクしてしまうかもしれない。このミススペルのドメインが一度も購入されたことがない場合、誰かが約1,500円でそのファントムドメインを購入し、インバウンドトラフィックをハイジャックする可能性がある。このような場合、プログラマーの間違いの代償をユーザーが支払うことになる。
これらのプログラマーのリンクエラーは、ユーザーをフィッシングサイトやスプーフィングサイトに誘導するリスクだけでなく、ハイジャックされたトラフィックが、悪意のあるスクリプト、誤情報、攻撃的なコンテンツ、ウイルス、その他将来もたらされるあらゆるハッキングの罠に誘導される可能性がある。
50万以上のファントムドメイン
我々は、高性能コンピューティングクラスターを使用して、これらの脆弱性についてブラウズ可能なWeb全体を処理した。研究では前例のない規模で、合計10,000台以上のハードドライブ分のデータが分析された。
その結果、572,000以上のファントムドメインが見つかったのだ。これらに誘導するハイジャック可能なハイパーリンクは、多くの信頼できるWebサイトで見つかった。皮肉なことに、これにはWebサイト上のプライバシー法を施行するために設計されたWebベースのソフトウェアも含まれていた。
これらの脆弱性を引き起こした誤りを調査し、分類した。大部分はハイパーリンクのタイプミスによるものだったが、プログラマーが生成した別のタイプの脆弱性であるプレースホルダードメインも発見した。
プログラマーが特定のドメインをまだ持たないWebサイトを開発する際、後で修正されることを期待してファントムドメインへのリンクを入力することがよくある。
これは、Webサイトの美的要素が社内で開発されるのではなく、他のプログラマーから購入されるWebサイトデザインテンプレートでよく見られることがわかった。デザインテンプレートが後にWebサイトにインストールされる際、ファントムドメインが更新されないことが多く、それらへのリンクがハイジャック可能になる。
ハイジャック可能なハイパーリンクが実際に悪用される可能性があるかどうかを判断するため、我々はそれらが指す51のファントムドメインを購入し、インバウンドトラフィックを受動的に観察した。その結果、ハイジャックされたリンクから相当量のトラフィックが来ていることを検出した。ハイジャックされたリンクのない同様の新しいドメインと比較すると、我々のファントムドメインの88%がより多くのトラフィックを獲得し、最大で10倍の訪問者数があった。
何ができるか?
一般的なWebユーザーにとって、認識が鍵となる。リンクは信頼できない。警戒心を持つべきである。
企業とそのWebサイトを管理する立場にある人々には、いくつかの技術的な対策を提案する。最も簡単な解決策は、Webサイト運営者がWebサイトの「クロール」を行い、リンク切れを確認することである。そのための無料ツールは多数存在する。リンク切れが見つかった場合は、ハイジャックされる前に修正する必要がある。
我々、Web
イギリスの科学者Sir Tim Berners-LeeがCERNで初めてWWWを提案したのは1989年のことである。その最初の説明(Web自体の証として今でもWeb上で広く閲覧可能である)には、セキュリティについて言及した「非要件」というセクションがある。このセクションには、運命的な一文が含まれている:
[データセキュリティは]CERNでは二次的な重要性しか持たない。情報交換の方がまだ重要である。
これは1989年のCERNにとって真実であったが、Webは現代の主要な情報交換媒体となっている。
我々はWebを自身の脳の外部コンポーネントとして扱うようになった。これはChatGPTのような大規模言語モデルの人気によって証明されている。これらのモデル自体がWeb上のデータで学習されている。
我々の依存度が深まるにつれ、Webデータセキュリティを「非要件」から「重要な要件」へと心理的に再分類する時期が来ているのかもしれない。
