カテゴリー
ネットのマーケティング

.comドメインは今も数万ドルでスタートアップに買われる

Hackrer News のトップに、.io ドメインで立上げに成功したスタートアップ企業が5桁ドル(five figures)の費用を掛けて .com ドメインを購入したという体験談が上がっています。

このスタートアップは、.io (イギリス領インド洋地域)という、テック系のスタートアップが近年好んで使うトップレベルドメインでサービスを始めた Remotive というリモートワーカーの採用サービスです。remotive は造語で、辞書にない言葉ですね。たぶん remote + motive なんでしょう。

2014年の創業期にはすでに remotive.com は誰かに取られていたため、サービスは remotive.io で始まりました。サービスが大きく伸びたのは新型コロナウイルスの発生からで、世界がリモートワークを余儀なくされる状況になったことが助けとなったようです。

サービスが順調に伸びてから早い段階で remotive.com ドメインの買取を考え始めたそうですが、ドメインの所有者は調べてもわからずじまい。レジストラであるGoDaddy経由で買い取りの意思表示をすると、$10000(110万円)以上ならという回答。この時は一旦諦めたようですね。

2018年も同じ回答、資金が確保できたのか今年2022年1月についに$10000(110万円)での買取を申し出るものの、ずっと大きな額のカウンターオファーが来て、それから3か月掛かって5桁のNDAで公表できない額で決着したということです。

インターネットの初期はブラウザのアドレスバーにドメイン名を手打ちするのが普通だったため、わかりやすい単語での .com ドメインの価値は非常に高く、売買のニュースも多く聞きました。でも今でもこんな売買が普通に起こっているんですね。今回体験談を書いた方も、ブランドの信頼、SEO、そして何より「ドット・アイオー」と付け足さなくていいのがクールだ、というのが決め手になっているようです。

過去の最高額ドメイン LasVegas.com だと$90000000(99億円) だそうなので、一般名詞でも固有名詞でもない分安いし、人件費なら一人年分もないでしょうから無駄ではないんでしょう。今回の事例では Hacker News のトップに載ってサービス自体の宣伝効果も出ているのですからなおさらです。

結局のところ、サービスがうまく伸びれば.com の購入はたいした負担ではないし、だからといって最初から .com のために大金を払うのはバカバカしい。.io など他の空いている TLD で安く始め、始めてしまえばサービス自身に注力するのがいい、ということなのでしょうね。

via Hacker News

カテゴリー
ネットの事件

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

カテゴリー
ネットの事件

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(165万円) を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(165万円) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。