「ホモグラフ攻撃」って？

フィッシングメールは、本物サイトそっくりに偽装した詐欺サイトにユーザーを誘導して、個人情報を盗んだりします。
その誘導に使うリンクに、識別のしづらい文字を意図的に使って置き換えたURLアドレスを作り、詐欺サイトへ誘導する手口があります。このURLアドレス偽装のことを「ホモグラフ攻撃」といいます。

わかりやすく説明すると、アルファベットの大文字のO（オー）と数字の0（ゼロ）、小文字のl（エル）と大文字のI（アイ）などがよく似た文字で、これらを入れ替えるのが一番ポピュラーな偽装です。
例えば

というように偽のURL（この場合は、www.googie.comやwww.g00gle.com）を作り、誘導するのです。

ドメイン名へのアクセスは「ケースインセンシティブ」といって、アルファベットを大文字で表示したとしても、小文字として扱うことになっているので、こういう、見た目をごまかした偽装が成立してしまうのです。その上問題なのは、こういうgoogie.comとかg00gle.comのような偽装用ドメインでSSL証明書の認証局を取得していることもあるので「ブラウザに鍵マークがついているから大丈夫でしょう！」と信じてしまう人も出てくることです。

それだけではありません。昔は、ドメイン名やホスト名（サイトのURL）には、ASCIIコード内のアルファベットと数字やハイフン(-)、ドット(.)だけしか使えなかったので、紛らわしい見た目のURL偽装はある程度に限られていたのですが、2003年から国際化ドメイン名（IDNドメイン）の使用ができるようになり、Unicodeのほか、非ASCII文字を「Punycode（※）」によりエンコードして利用できるようになったために、紛らわしい似た文字が大幅に増えてしまったのです。

※Punycode：
国際化ドメイン名の例（日本語）　“せぐなべ.jp”

＜IDNホモグラフの例＞

http://paypαl.com →一見すると　PayPalサービスのサイトのように見えますが、「a」の代わりにギリシャ文字の「α」（アルファ）が使われています。
これをPunycodeでASCII文字に変換すると、偽装URLの本当のリンク先は以下の通りになります。
http://xn--paypl-g9d.com
http://www.paypal.com とは全然違いますね。

国際化ドメインで使える文字にはキリル文字、ギリシャ文字など、アルファベットに酷似した文字を持つものもあり、置き換えて使うバリエーションが大幅に増えました。

なお、このIDNホモグラフ攻撃に対して、主要なWEBブラウザは、複数の文字コードが入っている場合には「http://paypαl.com」と表示しないで、「http://xn--paypl-g9d.com」と表示することで偽装対策をしています。しかし、全て同じ文字コードで偽装した場合にはその対策が効かない、ということもあるので、最終的にはユーザー自身が注意を払うしかないのです。

メールに埋め込まれたURLが、自分が使っているショッピングサイトやオンラインバンキング、SNS関連のページなどの場合は、そのURLをクリックするのではなく、自分が登録したそのサービスのブックマークなどからアクセスするようにすれば、偽装アドレスに騙されることはないでしょう。

初めてアクセスするサイトなどの場合は、以前パスクリ通信でご紹介したVirus Totalサイトなどでリンク先を調べるようにしましょう。

パスクリ通信2018年3月23日号　怪しいと思ったら「VirusTotal」でマルウェア検出！

メールやサイトに埋め込まれたリンクアドレスには、くれぐれもご注意を！