不正アクセス事件で利用された「ホモグラフ攻撃」とは?ドメインハイジャックには注意

公開日:

更新日:

目次

2020年に仮想通貨取引所のドメイン情報が改ざんされ、メール情報が流出する事件がありました。

被害はそれほど大きくなく、流出した可能性があるメールは同社宛てにメールを送ったユーザー約200人分のメール情報だそうです。脆弱性は「ドメインポータルサイト」側にあり、同様の手口で他の仮想通貨取引所も被害を受けました 。

話題となったドメイン登録情報ですが、具体的にどのようなもので、何がどのように改ざんされたらメール情報が流出するのでしょうか。

参考資料(スライドシェア)

不正アクセス事件で利用された「ホモグラフ攻撃」とは

今回のドメインハイジャックでは仮想通貨取引所のドメインネームサーバ(DNS)に似せた偽物のDNSを攻撃者が用意したことが予想されます。偽物と気付かれないよう、本物のドメイン名に酷似したドメインをわざわざ取得し、用意しておきます。

この本物に似せたDNSを用意し誘導する攻撃は"ホモグラフ攻撃"と呼ばれており、比較的メジャーな手法です*1。フィッシングメールなどでよく使われています。例えば、

正:google.com
偽:googIe.com ← 小文字l(エル)が大文字のI(アイ)になっている

正:yahoo.co.jp
偽:уahoo.co.jp ← 小文字y(ワイ)が、キリル文字のу(ウー)になっている。

等々、肉眼ではほぼ回避できません。むしろドメイン登録の時点で却下しておいて欲しい、とも思いますが、普通に通ってしまうものなのですね。

そうして攻撃者の用意した偽物の、ドライブバイダウンロード満載のサイトに誘導されたりします。

Segasec(Mimecast)で不正アクセス事件を起こさぬように予防が重要

そんな、「正規ドメインに酷似した偽装ドメイン」をwebクローリングによって発見、サイト閉鎖まで追い込むサポートをしてくれるイスラエル製品、「Segasec」というイスラエル製品を当社ではご紹介可能です。

現在は「Mimecast」というデータセキュリティベンダーに買収されましたが、機能は健在です。フィッシングによる被害が拡大する今、求められている機能ではないでしょうか。

サイト提供者必見です。
Mimecastの公式サイトを見る

脚注(参考文献一覧)

※1 せぐなべ|「ホモグラフ攻撃」って(参照日:2020/06/15)