https://www.bravotouring.com/~yano/archives/2017/04/21/ Recent content in 2017/04/21 on Yano's digital garage Hugo en-us Fri, 21 Apr 2017 22:15:08 +0900 https://www.bravotouring.com/~yano/diary/it/20170421_punycode.htm Fri, 21 Apr 2017 22:15:08 +0900 https://www.bravotouring.com/~yano/diary/it/20170421_punycode.htm <p><a href="https://www.bravotouring.com/~yano/diary/it/20170418_fakeurl.htm">18日</a>に書いたURL偽装の話。</p> <table align="right" class="Landscape"> <tr> <td><img alt="肉眼では偽物と見抜けない国際化ドメイン悪用のURL偽装、Google Chromeなどで対策進む" src="https://www.bravotouring.com/~yano/images/2017/20170421_punycode.png"/></td> </tr> <tr> <td class="PhotoMemo"><a href="http://forest.watch.impress.co.jp/docs/news/1056177.html">窓の杜</a>より</td> </tr> </table> <p> <a href="https://ja.wikipedia.org/wiki/%E5%9B%BD%E9%9A%9B%E5%8C%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%90%8D">国際化ドメイン名</a>の<blockquote cite="http://forest.watch.impress.co.jp/docs/news/1056177.html">たとえば“аpple.com”は一見、Appleの公式サイトのURLに見える。しかし、実は先頭の文字にキリル文字の“а”が使われており、アクセスすると偽のWebサイトに誘導されてしまう。</blockquote>というのが問題だと思ったのだが、多国語コードが混在すると<blockquote cite="http://forest.watch.impress.co.jp/docs/news/1056177.html">たとえば、先ほどのURLへアクセスしても、アドレスバーには“аpple.com”ではなくPunycode形式の“xn--pple-43d.com”と表示されるため、偽サイトであることは容易に判別できる。</blockquote>らしい。 </p> <p>問題は<blockquote cite="http://forest.watch.impress.co.jp/docs/news/1056177.html">しかし、この保護メカニズムに欠陥があり、<span class="Warning">ドメインに使われている文字が同じ言語であるケースでは機能していなかった</span>。たとえば、“xn--80ak6aa92e.com”へアクセスすると、アドレスバーには“apple.com”と表示されてしまい、視覚的に“apple.com”と見分けるのが困難となる。</blockquote>という事で、多国語コード混在ではなく純粋にASCIIで表現可能な"80ak6aa92e"という<a href="https://ja.wikipedia.org/wiki/Punycode">Punycode</a>を変換するとASCII文字で"apple"と表示されてしまうので、計算をして"xn--"で始まるPunycode相当のドメインにより偽装する事が可能になるという事のようだ。</p> <p>実際に"xn--"で始まるドメインを取れるかどうか<a href="http://www.onamae.com/">お名前.com</a>で試してみたところ、<blockquote>3文字目、4文字目を半角ハイフンにすることはできません。</blockquote>となったのでひと安心したが、プロトコル的には防げないのでDNS攻撃を併用する事で偽装できる可能性は排除できない。</p> <p class="Reference">【参照】 <br/>●窓の杜 <a href="http://forest.watch.impress.co.jp/">http://forest.watch.impress.co.jp/</a> <br/>┗<a href="http://forest.watch.impress.co.jp/docs/news/1056177.html">肉眼では偽物と見抜けない国際化ドメイン悪用のURL偽装、Google Chromeなどで対策進む</a> 2017年4月21日 <br/>●GIGAZINE <a href="http://gigazine.net/">http://gigazine.net/</a> <br/>┣<a href="http://gigazine.net/news/20161122-google-is-not-google/">GoogleのようでGoogleではない謎のサイト「ɢoogle.com」が出現</a> 2016年11月22日 <br/>┗<a href="http://gigazine.net/news/20170418-fake-domain-homograph-attack/">人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ</a> 2017年4月18日 <br/>●Xudong Zheng <a href="https://www.xudongz.com/blog/">https://www.xudongz.com/blog/</a> <br/>┗<a href="https://www.xudongz.com/blog/2017/idn-phishing/">Phishing with Unicode Domains</a> 2017年4月14日 <br/>●IPラーニング <a href="http://www.arearesearch.co.jp/">http://www.arearesearch.co.jp/</a> <br/>┗<a href="http://www.arearesearch.co.jp/learn/program/06.html">日本語ドメイン→Punycode表記への変換</a> <br/>●Punycode converter <a href="https://www.punycoder.com/">https://www.punycoder.com/</a> <br/>●Wikipedia <a href="https://ja.wikipedia.org/wiki/">https://ja.wikipedia.org/wiki/</a> <br/>┣<a href="https://ja.wikipedia.org/wiki/%E5%9B%BD%E9%9A%9B%E5%8C%96%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%90%8D">国際化ドメイン名</a> <br/>┗<a href="https://ja.wikipedia.org/wiki/Punycode">Punycode</a> </p>