TwoFive メールセキュリティ Blog 第11回 「ネット空間に暗躍するお化けドメインたち ~ ホモグラフドメインの方がドッペルゲンガー的かも…」 | ScanNetSecurity
2024.05.29(水)

TwoFive メールセキュリティ Blog 第11回 「ネット空間に暗躍するお化けドメインたち ~ ホモグラフドメインの方がドッペルゲンガー的かも…」

"よく似た" とか "そんな風に見える" ドメインを総称して “look-a-likeドメイン”と呼びますが、タイポスクワッティングドメインの他にも TLDスクワッティング、レベルスクワッティング、コンボスクワッティング、ホモグラフドメインなどがあります。

特集 コラム
(イメージ画像)
(イメージ画像) 全 3 枚 拡大写真

 昨年、“gmail.com"と入力するべきところを、“gmai.com"( l がない)としてしまったために、誤送信、大量の個人情報漏洩事件が発生。正規のドメインに酷似した偽装ドメインは「ドッペルゲンガードメイン」と呼ばれ、この言葉をよく聞くようになりました。

 しかし、メールセキュリティに携わってきた技術者にとっては、「それ、何だっけ?」という感があり、「タイポスクワッティングドメイン」という方がなじみ深いです。

 タイポ(typo)、つまり打ち間違えしやすそうな名前のドメインですね。こうしたドメインはフィッシング攻撃でもよく利用されます。

 ちなみに、ドッペルゲンガーとは、「自分と全く同じ人」と出会ったら死んでしまうという都市伝説…というか怪談に登場する言葉です。「l」がない “gmai.com" は、“gmail.com" と、「まったく同じ」ではないので、“gmai.com" をドッペルゲンガーと呼ぶのはどうなのかな…という感もあります。

 “よく似た" とか “そんな風に見える" ドメインを総称して “look-a-likeドメイン” と呼びますが、タイポスクワッティングドメインの他にも TLDスクワッティングレベルスクワッティングコンボスクワッティングホモグラフドメインなどがあります。

 今年 7 月に長崎で開催された JANOG52ミーティングの BoF において、長崎県立大学の小嶋 彬彦 氏がメールフィッシングに使用される手法の分類とその検知に関する研究と題した発表を行い、その中で、フィッシングURL の作成手法の分類について説明されました。

 その発表を引用させていただき、もうすこし紹介すると…

 タイポスクワッティングドメインは、先の"gmail.com"と"gmai.com"の他に、

 google.com に対して gooogle.com
 microsoft.com に対して micorsoft.com

google は「o」が 1 つ多く、microsoft は「o」の位置が違うのですが、容易に見間違いますよね。

 ホモグラフドメインは異なる文字セットを使うなどしてそれらしく似せて見せる手法ですが、違いがわかりますか?

 microsoft.com に対して、rnicrosoft.com
 google.com に対して、googlе.com

 microsoft は、先頭の文字が「m」ではなく、「r」と「n」がくっつけて「m」のように見せており、google は、真正なドメインの「e」は文字コード 0x65 で、ホモグラフドメインの「e」は 0xd0b5 と、異なるコードの文字が使われています。

 特に、この異なる文字コードを利用する手法は、人間の目では識別困難である場合が多く、この点では、ホモグラフドメインの方がドッペルゲンガー的ではあるかなぁ…とつぶやいてしまいそうですね。

 ドッペルゲンガードメインという呼び方は、言葉自体にインパクトがあり注意喚起の効果は高いと思いますが、インターネット上の情報でもドッペルゲンガードメインの定義はまちまちです。TwoFive が 7月 26日に寄稿した記事「メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?」では、タイポスクワッティングドメインやホモグラフドメインの中で、DNS上で MXレコードが設定してあり、メールを受信することが可能なドメインをドッペルゲンガードメインと定義しています。

 ちなみに、先にご紹介した長崎県立大学の小嶋 彬彦 氏は、ネットワークセキュリティの脅威に対抗して活動する JPAAWG(ジェイピーアーグ)の年次カンファレンス「JPAAWG 5th General Meeting」(2022 年 11 月開催)で、「ホモグラフドメインの検知に関する研究」を発表しています。(講演資料

 JPAAWG は、第 6 回 General Meeting を、来る 11 月 6 日・7 日に金沢で開催。ネットワークセキュリティに関する課題を様々な角度から議論・講演しますので、運用・開発現場でセキュリティに携わる方々は是非参加してください。オンライン参加も可能です。

 JPAAWG がどんなカンファレンスかご興味ある方は以下の記事もご参照ください。

「国税庁」メールに悩む今だからこそ、一堂に会してよりよい対策の議論を - JPAAWG会長 櫻庭秀次(2022/10/6)

ガラパゴス的な対策から脱却し、技術的に正しい対策を推進するヒントを得る機会に - JPAAWG事務局長 末政延浩(2022/10/12)

--

【付録】「look-a-like ドメイン」のバリエーション一覧

・タイポスクワッティング:
 
文字の追加、削除、置き換えなど
 例: twofive25.com(真) twoofive25.com(偽)

・コンボスクワッティング:
 
ドメインに、受信者にアピールするキーワードを追加
 例: twofive25.com(真) twofive25-support.com(偽)

・ホモグラフドメイン:
 
類似した文字を使用
 例: twofive25.com(真) tvvofive25.com(偽)

・TLD スクワッティング:
 
TLDの置き換え
 例: twofive25.com(真) twofive25.co.jp(偽)

・レベルスクワッティング:
 
途中まで正規のドメインで、TLDに別の何かを追加
 例: twofive25.com(真) twofive25.com.level(偽)


著者プロフィール
 株式会社TwoFive 社長 末政 延浩(すえまさ のぶひろ)
 大学で通信工学を学び、1980 年代に某通信会社の研究所で開発に従事し、UNIX 4.2BSD の sendmail を使い電子メールと出会う。2000 年より Sendmail日本法人で、技術責任者を務め、2008 年に代表取締役に就任。その後、2014 年に株式会社TwoFive を創設。長年蓄積した技術力とノウハウ、国内外のネットワークを活かして、安全・安心なコミュニケーションを護るために闘い続ける。

株式会社TwoFive
 国内大手 ISP / ASP、携帯事業者、数百万~数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな難題課題にも繊細に対応、必ず顧客が求める結果を出す。

《株式会社TwoFive 末政 延浩》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

    SPF / DKIM / DMARC はどう機能したか ~ フィッシングメール 596 件対象に分析

  2. 社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

    社内用ポータルサイトを誤って公開、最大 約 42,400 名の顧客の個人情報がアクセス可能に

  3. 総務省 SBOM 対応ノスゝメ

    総務省 SBOM 対応ノスゝメ

  4. 半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

    半数の中小企業経営者、セキュリティ対策の必要性「感じたことがない」

  5. メール・コンテナ・クラウド各技術のリスクと対策 ~ SHIFT SECURITY がハンドブック公開

    メール・コンテナ・クラウド各技術のリスクと対策 ~ SHIFT SECURITY がハンドブック公開PR

ランキングをもっと見る
PageTop