新ツール「Tirith」の登場
コマンドライン環境でのセキュリティを強化する新たなオープンソースツール「Tirith」が発表されました。このクロスプラットフォームツールは、コマンド入力されたURL内のホモグリフ(Homoglyph)攻撃を分析し、悪意のあるコマンドの実行を阻止することで、ユーザーを欺く偽装コマンド攻撃から保護します。GitHubおよびnpmパッケージとして提供されており、ユーザーのシェル(zsh、bash、fish、PowerShell)にフックして、入力された各コマンドを検査します。
Homoglyph攻撃とは
Homoglyph攻撃とは、見た目は本物そっくりでも、コンピュータにとっては異なる文字として認識される記号(異なるアルファベットの文字など)をURLに含めることで、ユーザーを欺く手法です。これにより攻撃者は、正規のブランドと瓜二つのドメイン名を作成し、ユーザーを悪意のあるサーバーへ誘導します。ブラウザはすでにこの問題に対処していますが、Tirithの作者であるSheeki氏によると、ターミナル環境はUnicode、ANSIエスケープ、不可視文字をレンダリングできるため、依然としてこの種の攻撃に対して脆弱です。過去には、Booking.comを装ったフィッシングキャンペーンでUnicodeホモグリフ文字が悪用された事例もあります。
Tirithがブロックする攻撃の種類
Tirithは、以下の種類の攻撃を検出し、ブロックすることができます。
- ホモグラフ攻撃:ドメイン内のUnicode似顔絵文字、Punycode、混在スクリプト
- ターミナルインジェクション:ANSIエスケープ、双方向オーバーライド、ゼロ幅文字
- パイプ・トゥ・シェルパターン:
curl | bash、wget | sh、eval $(...)など - ドットファイルハイジャック:
~/.bashrc、~/.ssh/authorized_keysなど - 安全でない転送:HTTPからシェルへの通信、TLS無効化
- サプライチェーンリスク:タイプスクワットされたGitリポジトリ、信頼されていないDockerレジストリ
- 認証情報漏洩:ユーザー情報を含むURL、宛先を隠蔽する短縮URL
Tirithの技術的特徴と利点
Tirithは、わずかサブミリ秒レベルのオーバーヘッドで動作し、瞬時にチェックを実行します。このツールはコマンドを実行することなく分析を行い、URLの信頼性シグナルを分解したり、バイトレベルでのUnicode検査を実施したり、実行されたスクリプトのSHA-256監査を行ったりすることが可能です。
特筆すべきは、Tirithが以下の特徴を持っている点です。
- 全ての分析アクションをローカルで実行し、ネットワーク呼び出しは行わない
- ユーザーが貼り付けたコマンドを一切変更しない
- バックグラウンドで実行されない
- クラウドアクセス、ネットワーク、アカウント、APIキーは不要
- テレメトリーデータを送信しない
ただし、Tirithは多くのClickFix攻撃で使用されるWindows Command Prompt (cmd.exe) にはフックしません。
導入方法とコミュニティの反応
TirithはWindows、Linux、macOSで利用可能であり、Homebrew、apt/dnf、npm、Cargo、Nix、Scoop、Chocolatey、Dockerといった多様な方法で簡単にインストールできます。
BleepingComputerによるテストはまだ行われていませんが、公開から1週間足らずでGitHubでは46のフォークと1,600近いスターを獲得しており、セキュリティコミュニティからの大きな注目と期待を集めていることが伺えます。