ニュース

肉眼では偽物と見抜けない国際化ドメイン悪用のURL偽装、Google Chromeなどで対策進む

ホモグラフ攻撃の保護メカニズムに欠陥

国際化ドメイン名を悪用した“ホモグラフ攻撃”

 国際化ドメイン名を悪用した“ホモグラフ攻撃”を行う手法が報告され、主要なWebブラウザーで対策が行われている。

 “ホモグラフ攻撃(同形異字語攻撃)”とは偽装攻撃(スプーフィング)の一種で、本物のURLとよく似た紛らわしい綴りや、“I(大文字のi)”と“l(小文字のL)”、“O(大文字のo)”と“0(数字)”など、見分けのつきにくい文字を意図的に用いたURLで人の目を欺き、偽のWebサイトへ誘導する攻撃を指す。

 一方、国際化ドメイン名(IDN:Internationalized Domain Name)とは、“http://窓の杜.jp”など、ドメイン名にアルファベットや数字以外の文字を利用できるようにする仕組みをいう。国際化ドメイン名を悪用したホモグラフ攻撃を、特に“IDNホモグラフ攻撃”と呼ぶ。

 たとえば“аpple.com”は一見、Appleの公式サイトのURLに見える。しかし、実は先頭の文字にキリル文字の“а”が使われており、アクセスすると偽のWebサイトに誘導されてしまう。このような見間違えを防ぐために、主要ブラウザーでは“ドメインに異なる言語の文字が混ざっている場合、アドレスバーでドメイン名をPunycode形式で表示する”という対策が施されていた。たとえば、先ほどのURLへアクセスしても、アドレスバーには“аpple.com”ではなくPunycode形式の“xn--pple-43d.com”と表示されるため、偽サイトであることは容易に判別できる。

 しかし、この保護メカニズムに欠陥があり、ドメインに使われている文字が同じ言語であるケースでは機能していなかった。たとえば、“xn--80ak6aa92e.com”へアクセスすると、アドレスバーに“аррӏе.com”と表示されてしまい、視覚的に“apple.com”と見分けるのが困難となる。

「Opera」は対策を開発版・ベータ版でテスト中

 この問題は、「Google Chrome」「Firefox」「Opera」などに影響するが、「Google Chrome」については先日リリースされた「Google Chrome 58」で修正されているとのこと。また、「Opera」は最新のベータ版で修正がテストされている「Firefox」は対策中だが、“about:config”画面で“network.IDN_show_punycode”を有効化すれば、IDNが常にPunycode形式で表示されるため、“IDNホモグラフ攻撃”を緩和することができる。