18日に書いたURL偽装の話。
窓の杜より |
たとえば“аpple.com”は一見、Appleの公式サイトのURLに見える。しかし、実は先頭の文字にキリル文字の“а”が使われており、アクセスすると偽のWebサイトに誘導されてしまう。というのが問題だと思ったのだが、多国語コードが混在すると
たとえば、先ほどのURLへアクセスしても、アドレスバーには“аpple.com”ではなくPunycode形式の“xn--pple-43d.com”と表示されるため、偽サイトであることは容易に判別できる。らしい。
問題は
しかし、この保護メカニズムに欠陥があり、ドメインに使われている文字が同じ言語であるケースでは機能していなかった。たとえば、“xn--80ak6aa92e.com”へアクセスすると、アドレスバーには“apple.com”と表示されてしまい、視覚的に“apple.com”と見分けるのが困難となる。という事で、多国語コード混在ではなく純粋にASCIIで表現可能な"80ak6aa92e"というPunycodeを変換するとASCII文字で"apple"と表示されてしまうので、計算をして"xn--"で始まるPunycode相当のドメインにより偽装する事が可能になるという事のようだ。
実際に"xn--"で始まるドメインを取れるかどうかお名前.comで試してみたところ、
3文字目、4文字目を半角ハイフンにすることはできません。となったのでひと安心したが、プロトコル的には防げないのでDNS攻撃を併用する事で偽装できる可能性は排除できない。
【参照】
●窓の杜 http://forest.watch.impress.co.jp/
┗肉眼では偽物と見抜けない国際化ドメイン悪用のURL偽装、Google Chromeなどで対策進む 2017年4月21日
●GIGAZINE http://gigazine.net/
┣GoogleのようでGoogleではない謎のサイト「ɢoogle.com」が出現 2016年11月22日
┗人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ 2017年4月18日
●Xudong Zheng https://www.xudongz.com/blog/
┗Phishing with Unicode Domains 2017年4月14日
●IPラーニング http://www.arearesearch.co.jp/
┗日本語ドメイン→Punycode表記への変換
●Punycode converter https://www.punycoder.com/
●Wikipedia https://ja.wikipedia.org/wiki/
┣国際化ドメイン名
┗Punycode