本物と偽物の区別がつかないホモグラフ攻撃

この記事をシェア

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

本物と偽物の区別がつかないホモグラフ攻撃

少しだけ怪しいメールが届いた。そこには、リンク先のURLが貼り付けられている。そのURLの綴りは、確かにいつも自分が利用しているサイトのURLに見える。たぶん大丈夫だろうと思ってクリックしてみた。いつものようにIDとパスワードを打ち込んだ。調子が悪いのかログインがうまくいかない。あきらめて別のサイトへ。しばらくはそのことを忘れていたが、それがフィッシングサイトだったことに、後から気付いた……。

これは、偽装(=スプーフィング)攻撃の一種で、「ホモグラフ攻撃」または「同形意義語攻撃」と呼ばれるものである。正しいURLのように見えるが実はそうではなく、文字(列)が分からないように別の文字に置き換えられている。

例えば、アルファベット表記の場合、エルの小文字「l」の代わりにアイの大文字「I」を、または、アルファベットのオーの小文字「o」の代わりにギリシア文字のオミクロンの小文字「ο」を転用しているのである。

例1

  • l(エルの小文字)
  • I(アイの大文字)

例2

  • o(オーの小文字)
  • ο(オミクロンの小文字)

英国ロイズ銀行のドメイン名

最近では、セキュリティ研究者であるグラハム・クルーリー(Graham Cluley)氏が、Twitterで間違い探しクイズのように、エルの小文字「l」で始まる「lloydsbank.co.uk」とアイの大文字「I」で始まる「Iloydsbank.co.uk」とを並べて注意を促した事例がある。

しかもこの例を基に別のセキュリティ研究者ポール・ムーア(Paul Moore)氏が、わざわざ安全性が保証されることを意味する緑色の「鍵」であるTLS証明書を業者から獲得して実際にリンクを貼ったクイズをTwitterで拡散した。

この例からも分かる通り、緑色の「鍵」のアイコンやURLの先頭にある「HTTPS」を確認するだけでは安心ではない。「見える」ものだけでそのサイトのセキュリティについて過大評価するべきではないのである。

これまでフィッシング詐欺を狙うサイトやポップアップ広告では、偽の「鍵」のアイコンを使うことはあったものの、このような、暗号化されているサイトに誘導するような偽装攻撃は例がない。しかし今後、こうした罠(わな)も十分に考えられることに注意を向けなければならない。

ちなみに、ロイズ銀行のユーザーはこのクイズに間違っても、ムーア氏は最終的には本物のサイトに転送しているので害を被ることなく、注意喚起だけを受け取る仕組みになっている。

国際化ドメイン名

ほかにも、キリル文字やギリシア文字の中には一般的なアルファベットと同じように見える文字が幾つかあり、それらを使って偽装する事例もこれまで発見されている。

ESETのブログサイト「welivesecurity」も上記のようにフォントによっては区別がつかない(最初の1行は「com」のオーの小文字がギリシア文字のオミクロンの小文字「ο」になっている)

ESETのブログサイト「welivesecurity」も上記のようにフォントによっては区別がつかない
(最初の1行は「com」のオーの小文字がギリシア文字のオミクロンの小文字「ο」になっている)

 

これは、国際化ドメイン名(IDN)が普及したことによって生じた問題である。

インターネットが利用され始めたころはドメイン名はアルファベットと数字だけで構成されていたのだが、2003年にはアラビア語やキリル文字、ギリシア文字、そして漢字が使えるようになった。

もちろん今では、日本語のひらがな、カタカナ、漢字の組み合わせによるドメイン名も一般的に利用されている。

キリル文字については、すでにブラウザー側で対策がなされており、利用言語以外の文字を含む場合、複数の文字体系が混在する場合は紛らわしい文字による表記をさせないようにしたり、信頼性の高いドメイン以外のサイトを表記させないようにしている。

だが、上記のように、同じアルファベットでも紛らわしい文字はある。また、これまでは問題になっていないが、今後は漢字とひらがな、カタカナを組み合わせた紛らわしいドメイン名が登場することも考えられる。例えば同じ日本語でも「口イズ銀行」と「ロイズ銀行」は紛らわしい(前者は漢字の「口」、後者はカタカナの「ロ」)。

対策

偽装されたURLは至るところに仕掛けることが可能である。そのために、疑いだすと全てが怪しく見えてしまうかもしれない。

だが、悪質な偽装URLの被害に遭わないようにするために予防策はある。以下のようなURLは積極的にクリックすべきではない。

  • 身元の分からないメールにあるURL
  • 身元のよく分からないSNSやメッセンジャーにあるURL
  • 掲示板などに貼られているURL(そしてそのサイトにあるURL)

特に、オンラインバンクや通販サイト、SNSなどに関連したメールを受け取った場合、そのメールに貼ってあるリンクをクリックするのではなく、ブラウザーに登録してあるブックマークからサイトにアクセスすることが望ましい。

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!