新しい同形文字攻撃テクニックは、小さな視覚的な違いを利用して信頼できるドメインを偽装し、資格情報を盗み、セキュリティスタックのUnicode処理をバイパスするための信頼性のある方法となっています。
同形文字攻撃とは
国際化ドメイン名(IDN)、Punycode、およびUnicode「confusables」を利用して、サイバー犯罪者はブラウザバーで正当なように見えるドメインを登録し、攻撃者が制御するインフラストラクチャに解決します。
同形文字の例
- 「a」(U+0061)とキリル文字「а」(U+0430)
- 「o」(U+006F)とギリシャ語のomicron「ο」(U+03BF)
これらの文字は、多くのフォントでは一目で区別できません。
攻撃者の手法
- IDNの大量登録: 高価値ブランドの同形文字変種を自動生成し、レジストラチェックを通過して無料TLS証明書を取得します。
- フィッシングキャンペーン: 偽のログインポータルやマルウェアダウンロードサイトを使用します。
- ブランド偽装リンク: アドやチャットメッセージに埋め込まれた偽のリンクを配布します。
技術的な側面
攻撃者はUnicode正規化のクイック(NFC/NFKC)、Unicodeコンソーシアムからの同形文字マッピング、およびバイディレクトリオーバライドコントロールを利用して、テキストが表示される方法と保存される方法を操作します。
防御の課題
多くの組織はUnicodeをエッジケースとして扱い、メールゲートウェイやウェブプロキシが混合スクリプトドメインを正規化またはフラグ付けしない場合があります。証明書ベースのチェックも誤解を招くことがあります。
防御策
- ポリシーの確立: 混合スクリプトIDNの公式使用を禁止し、重要なブランドの類似ドメインを事前に登録します。
- 技術的な層での防御: メールとウェブセキュリティでUnicodeを正規化し、疑わしいIDNをPunycode形式に変換します。
- 専門のセキュリティソリューション: URLレピュテーションやIDN認識、フィッシング検出機能を備えた製品を使用します。