ある有名な暗号資産プロジェクトの開発者が、新しいコントラクトを デプロイしようと自分のツールのサイトを開きました。URL はいつもどおりに見え、ページもいつもどおり。Wallet が接続し、署名が走り、十九分後にはプロジェクトの金庫は 空になっていました。あとで落ち着いて見直すと、ドメインに 含まれるラテン文字の「a」がキリル文字の「а」に置き換わって いたのです。コードポイントは別物なのに、形だけが同じでした。
Homoglyph と typosquatting は、安く、しかも工業化されたフィッシングの手口です。 攻撃者は本物と見分けのつかないドメインを登録し、スクレイパー でターゲットサイトを丸ごとコピーして、誰かが URL を打ち間違える、メールのリンクをクリックする、検索広告から たどり着く、といった瞬間を待ち構えます。リダイレクトに 気づく被害者はほぼいないので、訪問者あたりのコンバージョン は高く出ます。
アドレスバーで本当に効く手口
Typosquatting は単独の手口ではなく、ひとつの大きな 家族のようなものです。代表的な四つの型のどれかに、 ほとんどの人がいずれ引っかかります。
Homoglyph。他の文字体系の字が、多くのフォントで見分けがつきません。 キリル文字の「а」とラテン文字の「a」、キリル文字の「о」と ラテン文字の「o」、ギリシャ文字の「ο」など。Punycode で登録すれば、技術的には別ドメインなのに、見た目は同じ字として 描画されます。
単純な打ち間違い。amazoon.com、gooogle.com、paypa1.com(l の代わりに数字の 1)、 facebok.com。タイピングが速い人ほど、こうしたドメインに 着地する頻度は所有者の想像をはるかに超えます。スクワッターは ターゲットひとつにつき数百のバリエーションを押さえます。
サブドメインによる偽装。apple.com.security-check.xyz や paypal.com.login-ref.ru など。見慣れたホスト名が先頭に 並んでいても、本当のドメインはパスの直前、最後のセグメントです。
TLD の差し替え。企業は .com とせいぜい .net を押さえる程度で、関連 TLD をすべて取得しているところはほとんどありません。攻撃者は .co、.shop、.io、.app をかすめ取り、ピクセル単位で同じ コピーを立てます。URL が途中で切れがちなモバイルでは、 TLD の違いはほぼ目に入りません。
Typosquatting キャンペーンがスケールする仕組み
最近のキャンペーンはもう手作業ではありません。攻撃者は dnstwist のような DNS twisting ツールを走らせ、ひとつのターゲットから 数秒でそれらしいバリアントを数百件まとめて生成します。あとは 安く手に入るものを片っ端から登録するだけ。本家サイトの複製は スクレイパーに任せ、HTML、CSS、アセットを一対一でミラーします。 場合によっては reverse proxy として生のまま中継する構成も 選びます。
この reverse proxy 型はとくに厄介で、偽サイトが本物とまったく 同じコンテンツ(正しい login form、偽ドメインに対する Let's Encrypt の TLS 証明書、場合によってはサブページまで) を見せます。入力した内容は攻撃者がリアルタイムで本物の サービスに中継します。これが adversary-in-the-middle と呼ばれる手口で、SMS や TOTP の 2FA でも止められない 理由はここにあります。
月あたり新規登録される lookalike ドメイン
稼働中のフィッシングキットをホストする割合
最初の被害者が出るまでの平均時間
警告サインを見落としてしまう理由
五年ほどのユーザーリサーチの結論はいつも同じです。人は URL を読みません。ブランド名をざっと眺め、鍵マークを確認したら、 そのまま先に進みます。これは失敗というより、高頻度の読み取り というものがそもそもそういう挙動なのです。
最近のブラウザはこの傾向に拍車をかけています。URL を短縮表示したり、モバイルではドメインだけを残したり。 読みやすさとのトレードオフですが、結果として攻撃者が突いてくる サブドメインや TLD のバリエーションが見えなくなります。Chrome は登録ドメインだけを残して他を隠す実験まで行いましたが、 実装されていたら問題はさらに広がっていたでしょう。
さらに、フィッシングリンクの多くは普段から信頼している チャネル経由で届きます。ホスティング業者からのメール、 税務ポータルからのプッシュ通知、上司から届いた Slack メッセージ(差出人が偽装されたもの)。文脈さえ合っていれば、 URL を確かめる人はほとんどいません。
Lookalike ドメインを素早く見抜く
リンクを開いてしまって不安なときも、一分あればドメインが本物かどうかを判別できます。
- 1
アドレスバーでドメインを選択する
選択した時点でテキストは実際のフォントで表示され、 多くの場合、ブラウザの UI よりも homoglyph が際立つ書体でレンダリングされます。 - 2
URL をテキストエディタに貼り付ける
Notepad や TextEdit のような素のエディタなら、文字を そのまま表示してくれます。貼り付けたドメインに `xn--` や見慣れないグリフが出てきたら、それは homoglyph 攻撃です。 - 3
TLD と、あればサブドメインを確認する
最初のスラッシュの直前にある部分が本当のドメインです。 その前に並ぶサブドメインには、攻撃者が好きな名前を 付けられます。 - 4
それでも迷うなら、主ドメインから入り直す
メールのリンクを直接たどらず、公式ドメインを自分で ブラウザに入力するか、ブックマークから開きましょう。 この十秒の寄り道だけで、攻撃はほぼ無効化できます。
怪しいリンクを安全に開く
背後にいる相手を確かめたくて、どうしてもリンクを 開きたいときがあります。そんなときのための隔離ブラウザです。 怪しい URL を、自分のことを何も知らない環境、つまり cookie も保存パスワードも wallet 拡張機能もない環境で 開きます。たとえ adversary-in-the-middle であっても、 攻撃者が辿り着くのは盗み取るべき本物の認証情報がない セッションです。
セキュリティチームはフィッシングの triage で、この やり方を何年も前から使っています。個人でも仕組みは同じです。 重要なログインは必ずブックマークか password manager から開き、怪しい URL は使い捨てのブラウザで開く。 この使い分けが基本です。triage の手順を詳しく知りたい 場合は Testing Suspicious Links Without Riskを参照してください。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
