「Recorded Future」ライターチームです。
不正アクセス事件で利用された「ホモグラフ攻撃」とは、偽造するサイトのドメインネームサーバ(DNS)に似せた偽物のDNSを攻撃者が用意し、
偽物と気付かれないように本物のドメイン名に酷似したドメインをわざわざ取得し、用意し誘導する攻撃です。
この記事では、「ホモグラフ攻撃」の特徴や対策について解説しています。
- Recorded Futureのページから無料デモを予約
1コンソールで偽造されたサイトの検知からテイクダウン申請まで可能
目次
2020年に仮想通貨取引所のドメイン情報が改ざんされ、メール情報が流出する事件がありました。
被害はそれほど大きくなく、流出した可能性があるメールは同社宛てにメールを送ったユーザー約200人分のメール情報だそうです。脆弱性は「ドメインポータルサイト」側にあり、同様の手口で他の仮想通貨取引所も被害を受けました 。
話題となったドメイン登録情報ですが、具体的にどのようなもので、何がどのように改ざんされたらメール情報が流出するのでしょうか。
不正アクセス事件で利用された「ホモグラフ攻撃」とは
今回のドメインハイジャックでは仮想通貨取引所のドメインネームサーバ(DNS)に似せた偽物のDNSを攻撃者が用意したことが予想されます。偽物と気付かれないよう、本物のドメイン名に酷似したドメインをわざわざ取得し、用意しておきます。
この本物に似せたDNSを用意し誘導する攻撃は"ホモグラフ攻撃"と呼ばれており、比較的メジャーな手法です*1。フィッシングメールなどでよく使われています。例えば、
正:google.com
偽:googIe.com ← 小文字l(エル)が大文字のI(アイ)になっている
正:yahoo.co.jp
偽:уahoo.co.jp ← 小文字y(ワイ)が、キリル文字のу(ウー)になっている。
等々、肉眼ではほぼ回避できません。むしろドメイン登録の時点で却下しておいて欲しい、とも思いますが、普通に通ってしまうものなのですね。
そうして攻撃者の用意した偽物の、ドライブバイダウンロード満載のサイトに誘導されたりします。
Recorded Futureで不正アクセス事件を起こさぬように予防が重要
当社では、「正規ドメインに酷似した偽装ドメイン」を発見し、サイト閉鎖まで追い込むサポートを提供する「Recorded Future」という脅威インテリジェンス製品をご紹介しています。Recorded Futureは、偽サイトやクレデンシャルの流出、カード情報の不正取引などを包括的に監視し、リスクを検知します。検知した脅威に対しては、テイクダウン申請や不正利用防止策などの適切な対応が可能です。
Recorded Futureは、偽サイトや、クレデンシャルの流出、カード情報の不正取引などを包括的に監視し、リスクを検知します。検知した脅威に対しては、テイクダウン申請や不正利用防止策などの適切な対応が可能です。
- Recorded Futureのページから無料デモを予約
1コンソールで偽装ドメインの検知からテイクダウン申請まで可能