マルツィン・ウリコフスキ
近頃、セキュリティコミュニティでは、ある種のフィッシング攻撃が多くの注目を集めている。それはIDNホモグラフ攻撃と呼ばれ、数多くのUnicodeの字形が似ていることを悪用したフィッシング攻撃である。ドメイン名でのUnicodeの使用は、Webサイトのなりすましを行いやすくする。これは国際化ドメイン名をWebブラウザで表示したときに、正規のサイトのドメイン名と見分けにくい表示になってしまうことがあるためだ。たとえば、Eの上ドット付きラテン小文字である、Unicode文字U+0117は、ASCIIのEのラテン小文字と同じように見えてしまう。そのため、labsblog.xn--f-secur-z8a.comのようなドメインを登録することで、labsblog.f-securė.comと表示させることも可能になる。
このトピックについては、すでに十分に議論がなされてきた。10年以上前からセキュリティ研究者がこの問題について警告してきたが、多くの注目を集めるようになったのは比較的最近になってのことだ。悪い連中からの注目も同じく最近のことである。そうした危険な傾向について追跡調査するために、以前に私が作成したDNS調査ツール「dnstwist」と、いくつかのコマンドラインの技を組み合せて使用して、見つけたすべての情報の収集および分析を行ってみようと思う。
データを取得する
まず、Alexa Internetによって公開されている、世界中で最も人気のあるWebサイトのリストを入手する。このリストは適切な代表的サイトの集合となるように思われる。上位にリストされているサイトはフィッシング攻撃にとって魅力的な標的であるはずだからである。
ZIPファイルには100万件のドメイン名が含まれており、これでは多過ぎるため、100件に絞り込みを行う。そのようにした結果を、次の図に示す。
Unicodeフィッシングドメインを見つける
続いて、dnstwistを使用する。dnstwistは、Unicodeホモグラフ攻撃の手法を含め、様々な手法を用いてドメイン名のバリエーションを生成するツールである。アイデアとしては実にシンプルである。あらかじめ用意した100件のドメインのリストをシードとして使用して、存在する可能性のあるフィッシングドメインのリストを生成し、登録日をWHOISサーバに問い合わせるというものである。
1時間後には、それぞれのドメイン名がファイル名となった100本のファイルが作成される。Unicodeドメインに対象を絞るため、Punycodeでのエンコードで先頭がxn--の文字列となるドメイン名を除外する必要がある。このデータはカンマ区切りになっているので、登録日のカラムを削除する。最後に、年ごとにグループ化し、件数を集計し、見やすいグラフにプロットする。
結論
収集されたデータは、攻撃者が長期間Unicodeベースのドメインを使用していたことをはっきりと示している。
フィッシングの標的の上位3つは、Google、Facebook、およびAmazonである。
フィッシングドメインの存続期間がかなり短いこと、そして幅広い期間のデータが十分にないことから、明確な上昇傾向を示すことは難しい。しかし、このテーマに対する近頃の関心の高さを考えると、この手の攻撃がより頻繁に発生することが予想される。
追記
この調査を実施した際、偶然に、中国のFacebookユーザを標的にしていると思われる、アクティブなフィッシングサイトを運営するドメインを発見した。Facebookのセキュリティチームには、このインシデントについて通知済みである。
カテゴリ