サイト内の現在位置

そのURLはそっくりさん?~ミスリードURLに注意~

NECセキュリティブログ

2022年1月7日

こんにちは。NECサイバーセキュリティ戦略本部セキュリティ技術センターの鈴木です。突然ですが、URLに関する“ホモグラフ攻撃”や、それらを利用してURLをミスリードさせる攻撃をご存知でしょうか?あえてミスリードするようなURLについては正式な名前の定義が無いと思われますので、本ブログでは便宜上「ミスリードURL」と記述します。これは主に正規URLと見分けが難しい文字列で偽装したURLのことを指します。
昨今はフィッシング攻撃の件数増加など脅威が増しているため、今回はそのテクニックの1つである「ミスリードURL」とそれを実現する手法の1つである「ホモグラフ攻撃」について事例等を踏まえて解説をしたいと思います。

1.ミスリードURLとホモグラフ攻撃の例

2020年に、Googleとイリノイ大学アーバナ・シャンパーン校の共同研究の論文 PDF[1]が発表されました。この論文の中にはミスリードURLについてどの程度の誤認識が発生するかという観点の実験記述があります。その結果を見ると、様々なURLのうち、特にミスリードするような文字列ではないフィッシングURLについては約7%の人しか騙されなかったものの、ミスリードURLでは60%の人が騙された、という趣旨の記述がありました。
ここでの「ミスリード」は、前述のように正規のURLを構成する文字とそれに似せた別の文字を置換するなどして、視覚的に誤解を誘うものなどを指します。そして、その代表的な手法として「ホモグラフ攻撃」と呼ばれるものがあります。

では、具体的なミスリードURLの例を前述の論文から見ていきたいと思います。

図1 ミスリードURLの例
  • PDF[1]を基に作成
  • 記載されたURLへの実際のアクセスはお控え下さい

図1を見て、どこがミスリードする部分かお判りでしょうか。
以下にその部分を強調したものを掲載します。

図2 図1の回答(ミスリードする部分)

図2の例からも分かるように、ミスリードURLは想像以上に見分けが付きにくいのではないかと思います。また、近年は簡単かつ無償でSSL証明書を入手できるようになったこともあり、当たり前のように、これらの偽装されたURLでもHTTPS対応されているなど、以前にも増して見分けが付きにくくなってきています。

では、次にこの中で代表的な手法のひとつである「ホモグラフ攻撃」について例を挙げてみたいと思います。
「ホモグラフ攻撃」は図2-③のように見た目が紛らわしい文字を使用することでミスリードをさせるような古典的な攻撃方法として昔から存在しています。ただ近年ではIDN(国際化ドメイン名:Internationalized Domain Name)が普及し、今までの使用文字列(※)だけではなく、Unicodeなどの非ASCII文字も使用できるようになり、URLの表現の幅が広がったことから、非常に見分けが難しいケースが増えています。

  • 以前はASCIIコード内のアルファベット(A-Z)・数字(0-9)とハイフン(-)、ドット(.)のみが使用されていました
図3 ホモグラフ攻撃の例

今回はメイリオフォントで記載していますが、ミスリードする部分が分かりますでしょうか?

図4 図3の回答(ミスリードする部分)

フォントの見え方のせいで「そっくり」ということもあるかと思いますが、実際にはもっと見分けが付きにくいフォントで構成されることもあります。そのフォントで記載されたURL文字列がWebページ中やHTMLのメール文中に含まれる可能性も考えると、昔からある攻撃とはいえ、今も十分に脅威であると感じます。

2.ミスリードURLやホモグラフ攻撃への対策について

昔から存在する手法でありながら、現在も脅威であるこれらの攻撃に対して、私達はどう対応すれば良いでしょうか?ここでは、考えられる手段を3つご紹介します。

Ⅰ.最新の主要ブラウザを使用する

例えばGoogle Chromeなどは人気サイトに酷似したURLについて、警告を出す機能がありますし new window[2]、Microsoft Edgeは公式にWebフィルタ機能が実装されているようです new window[3]。もちろん、これらだけで万全な対策にはなりませんが、古いバージョンのブラウザを使うよりも、最新版を使用することでリスクの低減が望めると思います。

Ⅱ.対象サイトの安全性を確認する/安全なサイトにアクセスする

例えば、URLを入力してサイトの安全性を調査するサービス new window[4]などを使用することで、ある程度の安全性を確認可能です。ただ、この方法では、Webサイトにアクセスする度に確認をする必要があるため、現実的ではないかもしれません。一方で、普段からよく使うサイト(正規サイト)はブックマークをしておく、または検索エンジン経由で正規サイトへアクセスする等も1つの手段です。

Ⅲ.ソリューションでの対応を行う

セキュリティ関連のソリューションの中には、Webフィルタなどを使って対象のサイト/URLが安全かどうかを確認し、問題がなければアクセスを許可するといった仕組みを持つものもあります [5]。ある程度コストはかかりますが、安全性と利便性を考慮するとこれも実現性の高い対応方法かと思います。

Ⅳ.(番外編)JPドメインを信じる

実は、日本のJPドメイン名は使用できる文字が漢字・仮名・英数字に限定されており、事例で挙げた様なギリシャ文字など、ホモグラフ攻撃に使えそうな文字が混在したドメイン名は登録不可となっています( new windowhttps://日本語.jp/access/phishing.html)。
ただし、見た目が似ている漢字(例:末と未など)も多く、ホモグラフ攻撃を完全に排除することは難しいこと、また、ミスリードURLやホモグラフ攻撃以外の問題(そもそもフィッシングはミスリードURLではなく、誘導先のURI偽装や隠蔽など、より巧妙な手段が使われている)もあることから、ミスリードURLに限らず、注意は必要です。

3.最後に

いかがでしたでしょうか。今回はフィッシングサイトなどで使用されるミスリードURLやホモグラフ攻撃について取り上げてみました。これらは高度な攻撃手段ではないですが、誰もが被害に遭う可能性はあります。メールやWebサイトに記載されたURLへアクセスする際にはこういった恐れもあることを意識していただければと思います。

参考:

執筆者プロフィール

鈴木 明日香(すずき あすか)
セキュリティ技術センター 脆弱性マネジメントチーム
兼タレントマネジメント

NECグループの脆弱性を管理する業務、推進活動に従事。
兼務でセキュリティ教育や人材育成に携わる。

執筆者の他の記事を読む

アクセスランキング