通報しても対処されないフィッシングサイト@Aceville (Tencent) についてのメモ。
Acevilleとは
中国系Tencentグループに買収された、シンガポールのネットワーク事業者。
スパマーたちに大人気のレジストラかつフィッシングサイト本体のホスティング会社。
ICANNからの警告
9月20日付けでAcevilleへ「レジストラ認定契約違反の通知」が出された。主な理由は、DNS不正利用に対する対応義務違反。
cf. Notices of Breach, Suspension, Termination and Non-Renewal (違反、停止、解約、更新拒否の通知)
是正対応期限を2024年10月25日まで延長し、2025年5月現在ICANNがデータと書類の審査中。
Aceville側がきちんと対応しないと、レジストラ認定が取り消される可能性もある。現在進行形で悪用されまくり、かつ対応せずに放置しているので、このままなら認定取り消しもあり得るかも。
なお、Tencentと競合する、同じ中国系IT企業グループAlibabaも2024年3月に同様の警告を受けたが、Alibabaが対応し、是正されている。
URLの偽装方法
Acevilleに置かれたフィッシングサイトへの誘導リンクは、しばしば次のように偽装されている。
https://www.ibshboa.jp%E2%88%95kgv@nxiaka[.]com/S9b8B79Ajb?pwnwqjv=efelnytよく見ないと、スキーマのすぐ後ろにあるwww.ibshboa.jpがこのリンク先のドメインかと勘違いする。実は、このURLの中でドメインなのはnxiaka[.]comの部分。
さらにURLエンコードされている%E2%88%95をデコードすると、∕になる。パッと見には見分けがつかないが、キーボードで普通に入力するスラッシュとは別の文字。だから、ブラウザがURLを解釈するときにセパレータとして扱うこともない。
ただ、もしかしてメールアプリによっては、リンク先をURLデコードして表示してしまうものがあるかもしれない。Thunderbirdならアットマークより前の部分を削除したものをリンク先として表示するから、偽装されていても引っかかる心配はない。Thunderbird以外のメーラーについては、面倒なので調べていない。
AcevilleのIPアドレス帯
Acevilleが性根を入れ替えてきちんと不正利用対策するようになるまでは、ファイアウォールでアクセス制限するのが確実。
今のところ、Acevilleが使用しているとわかっているIPアドレス帯は、次のとおり。
43.128.0.0/13
43.131.0.0/18
43.134.0.0/17
43.152.0.0/13
43.160.0.0/12
101.32.0.0/16
101.33.0.0/17
103.117.52.0/22
115.108.60.0/24
119.28.28.0/24
119.29.29.0/24
124.156.0.0/16
129.226.0.0/16
150.109.0.0/16
162.62.0.0/16
170.106.0.0/16